我想弄清楚如何使用OAuth 2.0中的访问令牌。更确切地说,我正在尝试使用Web应用程序中的Google Plus API。
我现在能够获得code
并从中获得access token
。问题是这个令牌只有大约3600秒有效。
有没有办法获得另一个令牌而不让用户再次通过这个过程:https://developers.google.com/accounts/images/consent1.png因为它似乎有点恼人。我知道offline access
及其refresh token
,但对永久访问用户帐户感觉不对。
您对我应该如何进行有任何想法吗?
答案 0 :(得分:2)
我绝对不是权威,但我相信答案是'不'。 offline
令牌允许您在未经用户批准的情况下进行访问,但仅限于用户首次进行身份验证时已经同意的范围。此外,用户可以随时选择撤销您的应用程序的访问权限,这与他们之前的同意相结合意味着他们都知道他们允许的内容;和b。)可以随时停止它。从表面上看,如果用户使用您的应用程序足以让他们不断获得新令牌,他们已经相信它会在您设置的范围内代表他们行事,并且offline
令牌是您获取权限的一种方式与下一级别的关系:)
我意识到这可能比你想要的更具哲学性,所以如果与你的情况无关,请道歉。