在OAuth2协议中,使用了两种令牌:
- access_token:由授权服务器授予,由资源服务器用来决定是否应授予对资源的访问权限
- refresh_token:由授权服务器授予,由授权服务器用于授予新的access_tokens
这种分离的目的是为了实现可伸缩性:
- 资源服务器可以验证访问令牌,而无需与授权服务器进行协商
- 授权服务器仅用于授予access_tokens
- 资源服务器可以使用后备列表实现立即的access_token吊销,但是由于access_token过期窗口,该列表不需要无限期地增长
这些令牌的不同角色很明显,但是我想知道将这些角色封装到两个单独的物理令牌中的原因。是否有可能将所有信息放入一个可以同时用作访问和刷新令牌的令牌中?
类推可能是ID卡更新过程。您可以使用即将到期的ID卡进行续订,而无需再使用该卡。