是否为每个用户和客户端ID限制刷新令牌

时间:2014-07-10 04:24:31

标签: oauth-2.0

在OAuth2中,我认为对于每个用户和客户端ID,刷新令牌应该是唯一的或有限的,或者数据库可能太大,或者我们需要额外的努力来从数据库中删除令牌。

作为OAuth2的新手,我对此并不十分肯定。任何人都可以给我一些关于令牌存储的链接。谢谢。

1 个答案:

答案 0 :(得分:1)

刷新令牌对于用户和客户端ID应该是唯一的,对于不同的范围也是如此。

以下是一些建议:

  1. 重用刷新令牌: 例如,同一个用户通过授权代码授权流授权具有相同范围的同一客户端,您可以搜索商店中符合这些查询条件的当前刷新令牌,更新过期时间并将其返回,这样您就不需要创建新的之一。
  2. 清理过期的令牌: 您可以安排定期任务来清理过期的令牌(如果刷新令牌过期,您还应该删除它发出的访问令牌。)

    3. 至于商店,我认为LDAP和Cassandra适合存储/检索令牌。

相关问题
最新问题