OAuth2的“流程”涉及让用户说“是的,这没关系”。回来的令牌是暂时的。
但我正在尝试创建一个无人值守的服务。刷新令牌是否始终有效?我觉得它也会过期。
答案 0 :(得分:1)
阿德里安,
这取决于谁在实施OAuth2。在刷新令牌的description中,到期时间不作为规范的一部分进行讨论。该规范后来稍微模糊地state,如果出现以下情况,则可以返回invalid_grant的值错误:
提供的授权许可(例如授权代码,资源 所有者凭据)或刷新令牌无效,已过期,已撤销,确实如此 与授权请求中使用的重定向URI不匹配,或 发给了另一位客户。
这似乎意味着刷新令牌可能会过期。
该文件还提到可以用“长期访问令牌或刷新令牌”交换“凭证”,从而将它们分组到同一个到期类中。
最新版本的规格可在以下网址找到:http://tools.ietf.org/html/draft-ietf-oauth-v2
至于Google具体实施
Refresh tokens are valid until the user revokes access.
刷新令牌将始终有效,唯一的例外是当用户撤销该权限时。
对于Google OAuth2,用户可以通过web GUI或使用OAuth revoke endpoint撤消权限。