1

我想澄清一些關於OAuth2的內容。比方說,我有一個基於Web的應用程序和一個用戶特定的資源/儀表板,我希望通過OAuth2進行保護。進一步假設我的用戶會話持續30分鐘。通常我已經看到訪問令牌的有效性值爲30秒。因此,如果我的用戶登錄,獲取訪問令牌,然後在30秒內無法訪問/儀表板,那麼他們是否必須向瀏覽器發出兩個請求 - 一個獲取訪問令牌,另一個訪問令牌(使用該訪問令牌)獲取/儀表板資源?這看起來很不方便。我應該只讓訪問令牌的長度與我的會話長度相同以避免這種不便?如果我的用戶會話持續30分鐘,我的Oauth2訪問令牌應持續多長時間?

我正在使用Spring 4.1.5.RELEASE,Spring security 3.2.5.RELEASE和oauth2 2.0.5.RELEASE如果這是任何值。

謝謝, - Dave

回答

0

訪問令牌有效期比標準更方便。例如Twitter除非用戶明確這樣做,否則不會撤銷令牌。因此,如果您的會話應該有效30分鐘,則可以將訪問令牌有效期設置爲30分鐘。

+0

聽起來不錯,但假設用戶在超過30分鐘的會話中繼續活動,當最初的30分鐘到達時,他們將不得不請求新的訪問令牌是否正確? –

+0

是的,這是正確的 – TheGeorgeous

+0

好的,但這比普通的Spring安全性好嗎?對於最終用戶而言,看起來更像是一件麻煩事,而沒有真正獲得任何東西。 –