原则上,如果在密码授予身份验证后发出新的刷新令牌,是否应撤消任何现有的OAuth 2.0刷新令牌(对于给定的客户端/用户组合)?
我在规范中找不到任何具体内容。为后续密码登录重新发出相同的刷新令牌是否合法?
答案 0 :(得分:0)
在这种情况下,授权服务器可以发出新的刷新令牌 客户端必须丢弃旧的刷新令牌并将其替换为 新的刷新令牌。授权服务器可以撤销旧的 向客户端发出新的刷新令牌后刷新令牌。如果一个 发出新的刷新令牌,刷新令牌范围必须是 与客户端中包含的刷新令牌相同 请求。
因此,不要求您必须发出新的刷新令牌并撤销旧刷新令牌,但是,出于与access_tokens到期相同的原因,发布新的令牌是个好主意。受损的refresh_token仅在后续刷新之前有效。这将允许开发人员在泄露时撤销刷新令牌。