我刚刚开始使用 Google API 和 OAuth2。当客户端授权我的应用程序时,我会获得一个“刷新令牌”和一个短暂的“访问令牌”。现在,每次访问令牌过期时,我都可以将刷新令牌发布给 Google,他们会给我一个新的访问令牌。
我的问题是访问令牌过期的目的是什么?为什么不能用持久的访问令牌来代替刷新令牌?
另外,刷新令牌会过期吗?
See 使用 OAuth 2.0 访问 Google API有关 Google OAuth2 工作流程的更多信息。
这在很大程度上是特定于实现的,但总体思路是允许提供商使用长期刷新令牌来颁发短期访问令牌。为什么?
- 许多提供商支持不记名令牌,但安全性非常薄弱。通过使它们的生命周期较短并需要刷新,它们限制了攻击者滥用被盗令牌的时间。
- 大规模部署不希望每次 API 调用都执行数据库查找,因此它们会发出可通过解密进行验证的自编码访问令牌。然而,这也意味着无法撤销这些代币,因此它们的发行时间很短,必须刷新。
- 刷新令牌需要客户端身份验证,这使其更强大。与上述访问令牌不同,它通常通过数据库查找来实现。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
