我正在构建移动和单页应用,并且一直在评估允许立即访问/令牌撤销的身份验证技术。我看到Auth0和Stormpath除了允许撤销令牌之外还使用访问和刷新令牌。
如果您正在维护有效令牌列表并在资源服务器上收到到达请求时检查,那么刷新令牌和短TTL访问令牌的重点是什么?为什么不创建一个具有与在刷新令牌上设置的TTL相同的TTL的引用令牌,现在您不必担心刷新访问令牌(就在它到期之前)并且需要担心一个令牌?
答案 0 :(得分:1)
撤销刷新令牌通常是 资源所有者 在他/她认为令牌可能已遭到入侵(例如手机/笔记本电脑丢失)时所做的事情。
发出刷新令牌并强制客户端刷新短期访问令牌允许授权服务器定期验证主题(登录用户)是否仍然有效。
如果您发出长期存取的访问令牌,则您将无法撤消离开该组织的用户的访问权限。
当有人离开组织时,管理员希望从身份提供商处删除他们的帐户,并确保他们无法再访问任何资源。长期访问令牌会强制管理员也可能进入多个授权服务器并删除该用户的访问令牌。