我正在尝试在我的应用程序中用Jwt实现Oauth2。我有一个疑问,就是为什么我需要缩短access_token
的到期时间,而缩短refresh_token
的到期时间。
我的意思是说,我可以拥有一个access_token
,且其有效期更长,并且可以像保护access_token
一样保护refresh_token
,而无需{{ 1}}。这有道理吗?
因此,如果我从应用程序中忽略了refresh_token,我是否会遇到任何可用性问题或安全性问题?
答案 0 :(得分:2)
请参见RFC 6749:
1.5。刷新令牌
刷新令牌是用于获取访问令牌的凭据。刷新 令牌由授权服务器发布给客户端,并且 当当前访问令牌用于获取新的访问令牌 变得无效或过期,或获取其他访问令牌 范围相同或更窄(访问令牌的范围可能更短) 生命周期,且权限少于资源授权 所有者)。发行刷新令牌是可选的,具体取决于 授权服务器。如果授权服务器发出刷新 令牌,它包含在颁发访问令牌时(例如, 图1)。
刷新令牌是一个字符串,代表授权给 客户由资源所有者负责。字符串通常对 客户端。令牌表示用于检索 授权信息。与访问令牌不同,刷新令牌是 仅用于授权服务器,并且永远不会发送 到资源服务器。