2016-02-08 73 views
2

當我刷新OAuth訪問令牌A時,我得到一個新的訪問令牌B。但A仍然有效,我仍然可以使用它。刷新調用不應該使舊訪問令牌失效嗎?

刷新操作不應使舊訪問令牌失效嗎?如果不是,如果它是「按設計」,有人可以給我詳細說明爲什麼嗎?

注意:將Symfony與FOSOAuthServerBundle捆綁使用。

回答

2

RFC6749 section 1.5的指示:

刷新令牌由授權服務器頒發給客戶端,並且 用於獲得[...]附加訪問令牌 具有相同或更窄的範圍

據我所知,當訪問令牌B與refreh令牌一起發佈時,訪問令牌A可能仍然有效。

相關問題