OAuth Google - 令牌刷新

时间:2015-04-20 18:13:24

标签: oauth oauth-2.0 google-oauth

对我手机上的拼写错误道歉。我们一直在努力为几个提供商整合一个稳固的集成,除了Twitter和他们不存在的电子邮件地址(哦"再见"唯一密钥),我们让Google拥有极短的令牌生命周期。

现在我们通过推送用户在js中的客户端流程来执行虚假刷新。

如果没有用户通过oauth流而没有Offline Access accessType,如何刷新令牌呢?因为刷新令牌仅对此accessType有效。

如果我错过了一个技巧,请告诉我!所有的社交提供者似乎都遵循不同的方法,因为到期似乎没有在任何地方确切指定,因此在某些情况下它是一个unixtime标记,有些它是相对于现在的秒的负整数(我猜它必须基于UTC或那不会工作)我已经看到一些提供到期作为unix时间戳。该死的OAuth 2没有RFC ??

任何见解都表示赞赏。谢谢。

更新

对于缺乏清晰度表示道歉。一切正常,只是Googles OAuth令牌如此短暂。它不是一个表明,我们不得不用JS刷新谷歌的OAuth令牌或使用“访问类型”来解决这个问题。脱机。

1 个答案:

答案 0 :(得分:0)

关于您的应用正在使用的特定OAuth流,您没有在问题中说任何内容,因此很难提供可靠的答案。

我想到两种方法: -

  1. 如果您正在进行客户端JavaScript身份验证,那么您可以将immediate = true设置为“刷新”,而无需任何用户UI。

  2. 您可以执行离线位,赢取刷新令牌。您可以将其存储在服务器上,并根据需要使用它来生成访问令牌。