2012-10-26 153 views
0

我目前正在使用DevDefined OAuth。就我所能訪問的內容而言,訪問令牌永遠不會從開箱即用的內存存儲中刪除,因此只有當它們超時並被刪除或應用程序重新啓動時纔會清理它們。我很好奇其他人是如何與此合作的?我似乎有很多應用程序只是允許身份驗證生效,直到用戶說要刪除它(假設通過註銷),人們是否設置了一些其中的時間?或者也許是更新?似乎無限期地保留它們可能對社交應用程序有意義或者我正在建立業務線,而這看起來不正確。保留OAuth訪問令牌的指導

任何想法或經驗的人肯定會很有幫助嗎? 謝謝

回答

2

一般來說,你應該堅持訪問令牌,直到它被服務撤銷(用戶撤銷它或者它過期)。在這種情況下,您可以使用您的請求令牌獲取另一個訪問令牌。有些服務還有一個API可用來檢查訪問令牌的有效性。

OAuth並沒有真正爲您提供解決問題的條款 - 例如,如果您的應用程序已獲得用戶的授權,您始終可以從請求令牌獲取訪問令牌。

如果您關注的是業務線應用程序,那麼可能是您可以在應用程序層處理的東西。例如,我使用的許多應用程序都要求我登錄,但是一旦登錄,它就會連接到各種OAuth服務(即重新使用訪問令牌),而不會要求我提供進一步的許可。

+0

我相信DevDefined oAuth沒有任何支持過期訪問令牌的內置支持,所以它看起來像我可能需要構建一些東西。我想我們將採取在訪問令牌到期之後時間。我應該努力去積極刪除令牌嗎?我們正在使用內存令牌存儲,並且我不知道如果我在到期時沒有主動移除它們,那麼該存儲的增長太大。 – CodeHulk