2016-08-16 56 views
2

我有一個與YouTube直播流API集成的程序。它運行在定時器上,所以對於我來說,使用刷新令牌每隔50分鐘編程一次就可以獲取新的訪問令牌。我的問題是,爲什麼?「刷新令牌」的用途是什麼?

當我通過YouTube驗證後,它給了我一個刷新令牌。然後,我使用此刷新令牌每小時獲得一次新的訪問令牌。如果我有刷新令牌,我總是可以使用它來獲取新的訪問令牌,因爲它永不過期。所以我不明白這比從一開始就給我一個訪問令牌並且不打擾整個刷新令牌系統更安全。

回答

3

基本上,刷新令牌用於獲取新的訪問令牌。

明確區分這兩種令牌和避免被混淆了,這是他們的功能The OAuth 2.0 Authorization Framework給出:

  • 訪問令牌由授權服務器發放給第三方客戶端與審批的資源所有者。客戶端使用訪問令牌訪問資源服務器託管的受保護資源。
  • 刷新令牌是用於獲取訪問令牌的憑證。刷新令牌由授權服務器發佈給客戶端,用於在當前訪問令牌變得無效或到期時獲得新的訪問令牌,或者獲得具有相同或更窄範圍的額外訪問令牌。現在

,回答你,爲什麼你仍然被髮出刷新問題令牌,而不是隻保護一個訪問令牌,由互聯網工程任務組在Refresh tokens提供的主要原因是:

存在安全原因,refresh_token只與授權服務器交換,而access_token與資源服務器交換。這可以減少長時間訪問令牌在「一個小時內訪問令牌有效,一年刷新令牌或好到無效」的情況下出現長時間訪問令牌的風險「vs」沒有刷新的有效訪問令牌令牌「。

是OAuth 2.0流的更詳細和完整的信息,請嘗試將通過以下參考資料: