我想澄清一下OAuth2的内容。假设我有一个基于Web的应用程序和资源,/仪表板,这是用户特定的,我希望通过OAuth2保护。进一步假设我的用户会话持续30分钟。通常我看到访问令牌的有效值为30秒。因此,如果我的用户登录,获取访问令牌,然后在30秒内无法访问/仪表板,那么他们是否必须向浏览器发出两个请求 - 一个用于获取访问令牌,另一个用于访问令牌获取/仪表板资源?这看起来非常不方便。我是否应该将访问令牌长度与会话长度相同以避免这种不便?
我正在使用Spring 4.1.5.RELEASE,Spring security 3.2.5.RELEASE和oauth2 2.0.5.RELEASE,如果它是任何值。
谢谢, - 戴夫
答案 0 :(得分:0)
访问令牌有效期比标准更方便。例如,Twitter除非撤消令牌,除非用户明确这样做。因此,如果您的会话有效30分钟,则可以将访问令牌有效期设置为30分钟。