在使用OAuth2更新客户端的访问令牌时,客户端可能对此具有刷新令牌,在这里我看到一些分歧:
您应该更新刷新令牌,并在每个访问令牌更新请求中使旧令牌无效 ,还是?如果您继续发送相同的刷新令牌,那么,我们何时发送更改?我们会完全改变它吗?
答案 0 :(得分:2)
这取决于您使用的授权服务器。从OAuth 2.0规范的角度来看,在令牌刷新响应中发送新的刷新令牌是可选的。
来自section 1.5 of OAuth 2.0 specification
授权服务器对客户端进行身份验证并验证 刷新令牌,如果有效,则发出新的访问令牌(,然后, (可选)新的刷新令牌)。
因此,这取决于确切的实现。具体细节应包含在授权服务器的文档中。
此外,需要注意的一件事是,建议以某种方式编码,即使刷新令牌也可能在一段时间后过期。请参阅Google say about their token expiration。当令牌长时间不使用或用户撤消代其发行的令牌时,令牌可能会过期。即使在令牌刷新响应中未更新刷新令牌时也是如此。