我通过Asp.net Web API和OWIN实现oauth自动登录。我的问题是;为什么我需要刷新令牌来刷新访问令牌。我想我可以检测访问令牌是否已过期,然后我可以刷新它而不进行任何凭据检查,然后我可以将新的访问令牌返回给客户端。那么为什么需要刷新令牌呢?另一个主题是为什么刷新令牌比访问令牌更安全?两者都有相同的服务器响应。
答案 0 :(得分:1)
刷新令牌不需要再次通过任何授权流程,这需要(大多数情况下)与资源所有者进行交互。允许客户端随时获取访问令牌,而无需资源所有者参与。
如需进一步阅读和示例,请查看Google的offline access。