我无法理解,必须OAuth2 server对过期的令牌做什么?例如,client已过期访问令牌并启动auth code,password或client credetials授予流,auth服务器检查请求和??? (删除已过期并发出新的访问令牌,例如在refresh流程中?)
答案 0 :(得分:0)
“OAuth2服务器”可能意味着不同的东西。它可以是消耗令牌的“资源服务器”,或者是发出令牌的“授权服务器”。请记住,这些可能是完全分开的。
资源服务器应该使用过期的令牌做什么?它当然应该拒绝它并向客户端发送错误响应。请参阅section 7 of the OAuth2 spec。
如果您的意思是授权服务器应该使用过期的令牌“做”,那么我猜您是指代令牌存储?这些都不是由OAuth2规范定义的。服务器甚至可能不会保留令牌的副本(例如,它们可能是签名的JWT)。通常不需要保留过期的令牌,并且当客户端启动新流以获取新令牌时,没有指定的连接。在发布新令牌时,为该客户端和资源所有者过期现有的未过期的令牌可能是有意义的。