0
與刷新令牌交換,我們得到一個新的訪問令牌和一個新的刷新令牌。在這種情況下舊的刷新令牌應該被撤銷嗎?撤銷舊的oAuth 2.0刷新令牌
與刷新令牌交換,我們得到一個新的訪問令牌和一個新的刷新令牌。在這種情況下舊的刷新令牌應該被撤銷嗎?撤銷舊的oAuth 2.0刷新令牌
授權服務器本應使舊刷新令牌本身無效,不應要求客戶端採取任何措施。在說明書https://tools.ietf.org/html/rfc6749#section-6它是一個「可」的授權服務器:
授權服務器可以撤銷舊刷新 後令牌發佈一個新的刷新令牌給客戶端。
但是,如果不這樣做,它會被認爲是不好的安全衛生。或者,它可以暴露令牌撤銷API,如RFC 7009 https://tools.ietf.org/html/rfc7009中所述。