我找不到使用 refresh_token 的原因。什么时候我们可以做 access_token 渴望生活......
为什么我们两个都有?
答案 0 :(得分:1)
如果您在问题上标有JWT,我会假设您指的是Json Web Tokens
以下是从
引用的Refresh Tokens: When to Use Them and How They Interact with JWTs
访问令牌带有直接访问资源的必要信息。换句话说,当客户端通过访问时 令牌到管理资源的服务器,该服务器可以使用 令牌中包含的信息,用于决定客户端是否 是否授权。 访问令牌通常有到期日期和 是短暂的。
刷新令牌带有获取新访问令牌所需的信息。换句话说,每当需要访问令牌时 访问特定资源,客户端可以使用刷新令牌来获取 验证服务器发出的新访问令牌。常见用例 包括在旧的过期后获得新的访问令牌,或者 第一次访问新资源。刷新令牌 也可以过期,但相当长寿。通常刷新令牌 受到严格的存储要求,以确保它们不会泄露。 它们也可以被授权服务器列入黑名单。
这第二个引用也是一个有趣的读取,即短期访问令牌和长期刷新令牌。 Why Does OAuth v2 Have Both Access and Refresh Tokens?
吊销:如果访问令牌是自包含的,则可以通过不发布新的访问令牌来撤销授权。资源没有 需要查询授权服务器以查看访问令牌是否 有效。这简化了访问令牌验证并使其更容易 扩展并支持多个授权服务器。有一扇窗户 访问令牌有效的时间,但授权被撤销。
希望这有帮助。