我一直在阅读Google的oauth文档。在这里,他们讨论了为离线访问"请求刷新令牌。
https://developers.google.com/accounts/docs/OAuth2WebServer#refresh
我很好奇如果您没有请求刷新令牌会发生什么,因此您只有" online"访问。但是当访问令牌到期时会发生什么。您是否必须提示用户再次授权您?这听起来像是一次糟糕的经历。你总是想要请求刷新令牌吗?
答案 0 :(得分:0)
以下是发生的情况:流程再次启动,但根据浏览器/ cookie配置,用户不会看到这一点。在内部,一些重定向发生,谷歌为您提供了一个新的访问令牌。它被称为“在线”#39;因为用户在线(来自之前做过的浏览器)。 在'离线'例如,您可以在任何地方(例如您的后端)进行呼叫,而不是在登录时从用户的浏览器进行呼叫。
您还需要在离线情况下更加小心,例如将刷新令牌存储在安全的位置,并处理所有情况,例如用户从https://security.google.com/settings/security/permissions手动撤消令牌