似乎OAuth 2.0有两种不同类型的令牌。
1:获取令牌
2:刷新令牌
根据Google文档“用于Python的API客户端库:入门”...
当用户授予您的应用程序访问权限时,OAuth 2.0 授权服务器为您的应用程序提供刷新和访问 令牌。这些令牌仅对请求的范围有效。您的 应用程序使用访问令牌来授权API调用。访问令牌 到期,但刷新令牌不会。您的应用程序可以使用刷新 令牌获取新的访问令牌。
从表面上看,这听起来像是不必要的复杂性 简单比复杂更好 为什么我们需要2? 必须管理2的额外复杂性带来了什么?
答案 0 :(得分:0)
似乎这是一个重复的问题。
"刷新令牌的想法是,如果访问令牌被泄露,因为它是短暂的,攻击者有一个有限的窗口可以滥用它。
刷新令牌(如果受到攻击)是无用的,因为除了刷新令牌之外,攻击者还需要客户端ID和机密才能获得访问令牌。"