撤消旧的oAuth 2.0刷新令牌

时间:2016-02-05 12:41:33

标签: oauth-2.0

作为刷新令牌的交换,我们获得了一个新的访问令牌和一个新的刷新令牌。在这种情况下是否应该撤销旧的刷新令牌?

1 个答案:

答案 0 :(得分:1)

授权服务器应该自己使旧的刷新令牌无效,不需要客户端执行任何操作。在规范https://tools.ietf.org/html/rfc6749#section-6中,它是一个" MAY"对于授权服务器:

  

授权服务器可以在之后撤销旧的刷新令牌   向客户端发出新的刷新令牌。

但如果没有这样做,那将被视为不良的安全卫生。或者,它可以公开RFC 7009 https://tools.ietf.org/html/rfc7009中列出的令牌撤销API。