我们有一个安全的应用程序,需要非常短的访问令牌有效期(例如,15分钟)。我们希望访问令牌在用户处于活动状态并进行API调用时保持活动状态。但是,一旦有15分钟不活动,它应该会过期。基本上,到期时间不应该是固定的,而是距离上次呼叫15分钟。
这个模型使用的好模式是什么? OAuth2是否可行。
答案 0 :(得分:0)
OAuth 2.0未指定如何验证访问令牌。这取决于资源服务器(即您的API)与授权服务器之间的协议,因此您可以在实现中自由地使其适应您描述的方案。
您的资源服务器需要跟踪不活动超时或授权服务器可以执行此操作,并且资源服务器需要在每次使用时调用授权服务器以跟踪其中的使用情况和活动。