为什么访问令牌不再有到期时间?

时间:2019-01-04 08:45:48

标签: spring spring-security jwt refresh-token

我正在尝试在我的应用程序中用Jwt实现Oauth2。我有一个疑问,就是为什么我需要缩短access_token的到期时间,而缩短refresh_token的到期时间。

我的意思是说,我可以拥有一个access_token,且其有效期更长,并且可以像保护access_token一样保护refresh_token,而无需{{ 1}}。这有道理吗?

因此,如果我从应用程序中忽略了refresh_token,我是否会遇到任何可用性问题或安全性问题?

1 个答案:

答案 0 :(得分:2)

请参见RFC 6749

  

1.5。刷新令牌

     

刷新令牌是用于获取访问令牌的凭据。刷新     令牌由授权服务器发布给客户端,并且     当当前访问令牌用于获取新的访问令牌     变得无效或过期,或获取其他访问令牌     范围相同或更窄(访问令牌的范围可能更短)     生命周期,且权限少于资源授权     所有者)。发行刷新令牌是可选的,具体取决于     授权服务器。如果授权服务器发出刷新     令牌,它包含在颁发访问令牌时(例如,     图1)。

     

刷新令牌是一个字符串,代表授权给     客户由资源所有者负责。字符串通常对     客户端。令牌表示用于检索     授权信息。与访问令牌不同,刷新令牌是     仅用于授权服务器,并且永远不会发送     到资源服务器。