0
我不明白,什麼必須OAuth2 server做過期的令牌?例如client已經過期接入令牌,並且開始auth code,password或client credetials准許流,auth服務器檢查請求以及一個(刪除過期,併發出新的訪問令牌,如refresh流?)OAuth2服務器如何發佈expierd令牌?
A
回答
0
一個「的OAuth2服務器」可能意味着不同的事情。它可能是一個消耗令牌的「資源服務器」,或者是頒發令牌的「授權服務器」。記住這些可以完全分開。
資源服務器應使用過期令牌應該做什麼?它當然應該拒絕它,並向客戶端發送錯誤響應。請參閱section 7 of the OAuth2 spec。
如果你的意思應該授權服務器「做」使用已過期的令牌,然後我猜你指的是令牌存儲?這些都不是由OAuth2規範定義的。有可能服務器甚至可能不保留令牌的副本(例如,它們可能是有簽名的JWT)。通常不需要保留過期令牌,並且當客戶端啓動新流程以獲取新令牌時會發生什麼情況沒有指定的連接。當發佈新令牌時,對於該客戶端和資源所有者而言,現有的未到期的令牌可能會失效。
相關問題
- 1. 撤銷令牌標識服務器OAuth2
- 2. Nodejs發佈請求以獲取服務帳戶的oauth2令牌
- 3. 發送設備令牌服務器
- 4. Google OAuth2驗證服務器流程中的訪問令牌
- 5. 用於獲取AWS Cognito用戶池令牌的OAUTH2服務器?
- 6. OAuth2令牌PHP
- 7. 在oauth2中grant_type = refresh令牌上發生內部服務器錯誤
- 8. OAuth2:如何向OAuth2服務器發送「拒絕」請求?
- 9. 我如何驗證我在服務器端的定製Oauth2訪問令牌
- 10. 如何使用服務器端OAuth2(隱式授權)獲取訪問令牌?
- 11. 如何區分在服務器上請求令牌OAuth2的設備?
- 12. 如何驗證資源服務器上的WSO2 oauth2訪問令牌
- 13. 如何從Android應用PHP的Web服務器發佈GoogleAuthUtil.getToken()的令牌
- 14. 如何將設備令牌發送到ios6中的服務器?
- 15. OAuth2 GitHub API令牌
- 16. oauth2的其他服務:無法找到令牌的訪問令牌
- 17. 。NET安全令牌服務(STS)發佈基於領域的不同令牌
- 18. GCM令牌刷新以及何時將令牌發送到服務器
- 19. 如何使swagger接受oauth2令牌?
- 20. oauth2如何處理刷新令牌
- 21. 如何處理oauth2和csrf令牌laravel
- 22. 的oauth2服務器
- 23. WSO2 API管理器2.0.0 - LDAP和發佈服務器API令牌問題
- 24. OAuth2從後端服務訪問和刷新令牌
- 25. 與EWS API服務outlook.com賬戶連接用的OAuth2令牌
- 26. 在Android上使用Google Play服務的OAuth2令牌
- 27. 服務器到服務器oauth2
- 28. WCF服務被動地發佈SAML令牌
- 29. App> OAuth2服務器> Facebook> OAuth2服務器> App
- 30. 如何從Google Api使用Javascript檢索服務帳戶OAuth2令牌?
謝謝。您正確理解「授權服務器」的含義。我沒有在規範中找到它,所以我可以在每個授權流程上發佈新令牌,並忘記所有過期的載體令牌?我不能過期未過期的令牌,因爲'資源所有者'可以在不同的平臺/瀏覽器上使用'客戶端'。 –
是的,你可以忘記過期的令牌。不確定您的過期令牌和用戶/資源所有者的含義。您提到的任何流程都不會受到他們使用的平臺或瀏覽器的影響。訪問令牌僅由作爲單獨應用程序的客戶端使用。如果授權服務器存儲令牌,則它可以在令牌選擇時過期令牌,並且如果資源服務器有某種方式使用授權服務器檢查令牌(規範中未定義,但通常情況下),則它會知道令牌已過期。 –