我注意到其规范中的OAuth 2建议使用属性$(document).ready(function () {
$(".next-day").click(function () {
$(".day span").html(function (i, val) {
return +val + 7;
});
});
$(".prev-day").click(function () {
$(".day span").html(function (i, val) {
return +val - 7
});
});
});
来定义访问代码的有效期。
这对我来说似乎是倒退的,因为API仍然需要计算它到期的时间以将其保存在数据库中,并且接收器需要执行相同的操作。将到期时间作为标准化UNIX时间戳传递似乎更合理,API和应用程序可以将其保存在其数据库中以检查到期时间。
答案 0 :(得分:1)
由于似乎没有人对此有答案,我会将我的假设作为答案添加:
服务器和设备时间并不总是匹配。这就是为什么持续时间是更合乎逻辑的方式。
考虑用户禁用与服务器同步时间并在过去1周内手动设置他/她的时间。从oAuth服务器收到的令牌不考虑这一点,他们只是设置一个到期日期并向设备发送时间戳,假设设备的时钟是同步的,它会将时间戳转换为正确的设备时区。
通过发送这些"误解"可以绕过。