机密客户端是可以安全存储客户端的应用程序 密码(秘密)。他们可以证明请求来自 受保护的客户端应用程序,而不是来自恶意行为者。对于 例如,网络应用是机密客户端,因为它可以存储 Web服务器上的客户端机密。它没有暴露。因为这些 流更安全,发出刷新令牌的默认生存期 这些流量直到被撤销,无法通过使用策略进行更改, 并且不会在自愿密码重置后被撤消。
现在对于我的webAPI应用,我应该确保刷新令牌已过期。
我的问题:
1。机密客户端的刷新令牌是否已过期直到被吊销?
2。当我使用旧的刷新令牌获取新的访问令牌时,服务器将返回一个新的刷新令牌,该令牌与旧的刷新令牌有所不同。我应该使用新的刷新令牌来代替旧的刷新令牌吗?还是旧的和新的刷新令牌都必须在单元撤销之前过期?
答案 0 :(得分:0)
该文档中的一段关键文本:
在自愿重置密码后不会被撤消
因此,对于机密客户端来说,如果用户更改密码,刷新令牌不会被吊销。 但是,我认为这不适用于管理员进行的重置。
每当您使用刷新令牌时,都必须为令牌不起作用的情况做好准备。
如果您的应用具有取决于该访问的关键功能,并且无法处理访问数据的停机时间,则需要使用应用权限。
这是第二个问题:
刷新令牌的最大无效时间(针对机密客户)为90天
因此90天内未使用的刷新令牌将不再起作用。 我将始终用新的令牌替换当前的刷新令牌,并确保在可能的情况下不定期使用刷新令牌。