OAuth 2.0 v30定义expires_in以指定令牌过期前的客户端时间。如果客户端请求的所有范围都有单一持续时间,则此方法很有效。当有多种类型的范围时:例如离线 - 在线,例如(如果你愿意,可以是短暂的生活/长期生活)OAuth提供者应该返回的到期时间是什么?
答案 0 :(得分:-1)
用户授权客户代表他访问某些范围内的资源。此权限基本上是针对所有范围的无限时间授予的(因为他对提供者如何处理它没有影响),至少在用户手动撤销提供者端的权限之前。如果他只撤销部分范围,则当前发布的access_token无效,客户必须使用refresh_token请求新的(范围有限)。
令牌过期的原因是,当他们被盗时,攻击者只能在有限的时间内访问。因此,您设置为提供者的expires_in时间应该取决于您对客户端的信任程度,如果他可以保持令牌的秘密而不是范围。