我已经阅读了PingIdentity,Microsoft,auth0甚至是RFC 6749的各种文档,试图回答一个简单的问题:访问令牌可以超过刷新令牌吗?上下文是OAuth 2.0。
让我举例说明。假设我们有一个刷新令牌,其生存时间(TTL)为10天。每个访问令牌的TTL为3天。它们是在第1天的00:00发出的。由于我们只在到期时刷新这些访问令牌,所以这意味着我们在第1、4、7和10天获得了访问令牌。现在,最后一个访问令牌是否到期一天之后(第10天结束时)还是三天之后(第12天结束时)?
在this recent article from Microsoft on LinkedIn authentication中,它们指示第一个选项:访问令牌将与刷新令牌同时到期,并以仅一天(而不是三个)的TTL发出,天。其他人则什么也没说,只是简单地跳过了这个问题,这是因为短暂的访问令牌使讨论变得毫无意义。但是有时(如文章中所述),这些访问令牌的生存期为数周,而刷新令牌的生存期为一年,这与5分钟的生命周期完全不同。
我的猜测是,这取决于实现/供应商,因为在任何RFC中都没有明确说明(我可以找到)。
答案 0 :(得分:0)
访问令牌的接收者(如API)从不会看到刷新令牌,因此只要接收令牌有效(未过期),接收者就将接受它。