遵循RFC 6749的本节,授权服务器不得为Implicit Grant流发出刷新令牌。
https://tools.ietf.org/html/rfc6749#page-35
我计划在单页面应用程序中使用带有刷新令牌的隐式授权流程,避免每次访问令牌到期时为用户请求新的授权过程。
有人可以在RFC中清除这种约束的原因吗?
谢谢:)
答案 0 :(得分:2)
Eduardo,在隐式授权流程中,客户端通过来自用户的用户代理(又称浏览器)请求访问资源。所以客户想要抓住一些东西,但需要用户为其输入权限。如果auth服务器提供了刷新令牌,那么客户端可以在将来跳过询问用户的权限并永久授予自己访问权限(基本上在没有用户权限的情况下重新获取其令牌)。所以他们在流程中禁止它,因为"不信任"客户端应该只能通过让用户输入他们的凭证来访问(因此只有在资源所有者允许的情况下)。