使用OAuth 1.0访问受保护资源的外部服务API。
我使用之前在OAuth 1.0授权过程中获取的用户访问令牌密钥,对此外部服务发出了成功的API调用,对API调用进行签名。
进行了一些重构,并且只是作为一个完整性检查,再次使用相同的用户执行了OAuth 1.0授权过程,该用户发布了新的访问令牌和秘密。
进行了一些重构,并测试重构,重新运行API调用以访问受保护的资源。但是,我忘了为我的用户更改(临时硬编码的)访问令牌/机密。在成功完成第二次授权过程之前,访问令牌/机密仍然是先前的值。我原本期望我的API调用失败,因为用户已经发出了新的访问令牌/秘密,而我正在使用之前的访问令牌/机密。我原以为它会失败,因为有人会错误地认为为同一个用户和消费者获取新的访问令牌会使之前发出的任何访问令牌无效。
这没有发生。
我能够使用先前的访问令牌/机密或新获取的访问令牌/机密成功进行相同的API调用。
这是正确的行为吗?如果是这样,“旧的”访问令牌是否会失效?