通读一些关于Oauth 2流程中刷新令牌用途的类似文章,它们对于用户参与的身份验证(如用户名和密码)有意义,但是对于Oauth2客户端凭据流程,为什么要冒着使用刷新令牌的风险呢?
与通过客户端ID和客户端机密身份验证获取访问令牌相比,使用刷新令牌过期后使用刷新令牌获取新访问令牌的速度更快吗?
引用的帖子:
答案 0 :(得分:1)
简短而又瘦弱的是-客户可以代表自己行事,而无需资源所有者的参与;只需像以前一样请求一个新的访问令牌。
...但是对于Oauth2客户端凭据流,为什么要冒险使用 刷新令牌吗?
很好的观察;客户端凭据流不会发出刷新令牌。在没有资源所有者的情况下,可以合理地假设客户端可以根据需要请求新的访问令牌。
系统压力较小还是使用刷新令牌来更快 过期后获取新的访问令牌,而不是获取新的访问令牌 通过客户端ID和客户端秘密身份验证访问令牌?
虽然在实现上特定于刷新令牌的处理速度,但是处理刷新令牌的速度可能要比对新访问令牌的请求稍慢。这是因为客户端能够直接请求访问令牌,而无需针对调用客户端验证刷新令牌。