我有一个OAUTH2身份验证服务器,为每个新的acccess_token设置默认TTL(3600s)。
但在我看来,每个资源服务器的access_token TTL应该是不同的。 就像JavaScript Webinterface一样,它应该是3600s,对于Android应用程序,它可能是一个月。
谁决定access_token TTL应该有多长? 来自客户端的GET access_token请求是否应该请求自定义TTL? 是否应在身份验证服务器上的服务配置(以及client_id,client_secret,App Description,...)中定义每个资源的TTL?
答案 0 :(得分:0)
颁发令牌的授权服务器负责为其分配到期时间。客户端可以使用标准化授权请求参数来指示首选TTL。授权服务器基于可以基于客户端标识符和关联/配置的权限的策略来决定"或者"信任",授权请求中可用的参数(例如scope)和其他上下文数据,如HTTP请求参数,一天中的时间等。