我试图在OAuth2规范中找到与授权授权的生命周期相关的任何内容。提到访问令牌到期并需要刷新/更新,但我没有看到任何有关格兰特的信息。我的印象是,如果需要过期或撤销授权授权,这将是必须添加到Auth服务器的内容,并且实际上不在OAuth2框架的范围内。
我的理解是正确还是我忽略了什么?这甚至是一个有效的用例吗?
答案 0 :(得分:0)
RFC 6749(OAuth 2.0授权框架)mentions:
授权码必须是短暂的并且一次性使用。
RFC 6819(OAuth 2.0威胁模型和安全注意事项)provides more detailed description:
基于浏览器的流程通过URI查询参数(HTTP引用者),浏览器缓存或日志文件条目向潜在攻击者公开协议参数,并且可以重播。为了减少这种威胁,短期授权"代码"传递而不是令牌,并通过客户端和授权服务器之间更安全的直接连接交换令牌。
但是,RFC中没有关于授权令牌生命周期的确切信息。根据我的经验,这可能是一分钟或几分钟。