我知道访问令牌的到期时间是60分钟。但是我想在30分钟内将它过期所以OAuth是否有任何端点可以使令牌过期?
答案 0 :(得分:1)
OAuth2本身并不能让客户端设置自定义令牌过期时间,但具体实现可能有某种方法。您最接近的想法是使用http://www.oracle.com/technetwork/database/database-technologies/r/r-enterprise/downloads/index.html中描述的/revoke端点撤消令牌。但是通过撤销令牌其他令牌或者会话也可以被撤销:
根据授权服务器的撤销策略, 撤销特定令牌可能会导致相关的撤销 令牌和基础授权授权。如果特别的话 token是刷新令牌,授权服务器支持 撤销访问令牌,然后授权服务器也应该 基于相同的授权授权使所有访问令牌无效 (见实施说明)。如果传递给请求的令牌是 访问令牌,服务器可以撤销相应的刷新令牌 好。
答案 1 :(得分:1)
据我所知,RFC6749也没有与OAuth2相关的其他规范都规定了1小时的访问令牌生命周期。
RFC6749中的值3600只是授权服务器发送的可能响应中给出的示例。
在section 4.2.2中,expires_in参数描述如下:
推荐。访问令牌的生命周期(以秒为单位)。 例如,值“3600”表示访问令牌将在生成响应后的一小时内到期。如果省略,授权服务器应该通过其他方式提供到期时间或记录默认值。
总结一下:如果发布一个有效期为1分钟的访问令牌是有意义的,那么在制定安全策略时,没有什么能阻止您这样做。
答案 2 :(得分:0)
是的,简而言之,您只需将 AccessTokenExpireTimeSpan 属性更改为您想要的时间。在配置时更改值。