是否为每个用户和客户端ID限制刷新令牌

Question

在OAuth2中，我认为对于每个用户和客户端ID，刷新令牌应该是唯一的或有限的，或者数据库可能太大，或者我们需要额外的努力来从数据库中删除令牌。

作为OAuth2的新手，我对此并不十分肯定。任何人都可以给我一些关于令牌存储的链接。谢谢。

Answer 1

刷新令牌对于用户和客户端ID应该是唯一的，对于不同的范围也是如此。

以下是一些建议：

1. 重用刷新令牌： 例如，同一个用户通过授权代码授权流授权具有相同范围的同一客户端，您可以搜索商店中符合这些查询条件的当前刷新令牌，更新过期时间并将其返回，这样您就不需要创建新的之一。
2. 清理过期的令牌： 您可以安排定期任务来清理过期的令牌（如果刷新令牌过期，您还应该删除它发出的访问令牌。）

至于商店，我认为LDAP和Cassandra适合存储/检索令牌。