我正在测试OAuth2用于MS Office 365以便阅读日历事件,并且只需阅读this blog post中的以下内容:
...刷新令牌,同时长寿, 在某些方面也变得无效。一个例子是用户是否改变 他们的密码,刷新令牌变得无效。
根据我与其他OAuth2提供商的经验,当用户更改密码时,刷新令牌不会过期(不是令牌的主要目的之一 - 允许密码独立访问?)。
我错过了什么吗?密码更改后到期刷新令牌的原因是什么?
答案 0 :(得分:1)
密码泄露后可能会发生密码更改。访问&在密码泄露和检测之间的时间内可能已经发出了刷新令牌,这些令牌需要被撤销以及密码重置。为了简化管理 - 可能很难检测到违规的确切时间 - 所有访问都被撤销,需要由资源所有者明确重新分配。
答案 1 :(得分:-1)
通常用户在没有理由的情况下不会更改密码。其中一个原因是用户可能认为他的密码可能已被泄露。在这种情况下,不清楚哪个刷新令牌(登录)是真实的,哪些来自可能的黑客。