标签: oauth oauth-2.0 asp.net-web-api2 owin
我正在实施OAuth2 / OWIN / Katana身份验证/授权,要求令牌只能生存几分钟,最多10个,可能是15个。如果是这种情况,我是否需要实现刷新令牌?我的理解是,它们只对长期的会议和#34;
答案 0 :(得分:2)
我假设你在谈论自定义实现。如果您再次提示用户,那么您就不需要刷新令牌。存在刷新令牌,因此您可以拥有必须经常更新的短期访问令牌,使您有机会通过使刷新令牌本身无效来撤消它们。如果您不需要在超过10分钟,15分钟的时间范围内使用令牌,那么您可能不需要刷新令牌。