我知道(在 OAuth 中使用授权代码“授权代码”时),访问令牌的生命周期应该很短,但刷新令牌的生命周期可以很长。
所以我为我的项目决定:
- 访问令牌生命周期:1 天
- 刷新令牌生命周期:30 天
但授权码的典型生命周期是多长?
我认为它应该非常非常短,对吗?
也许像 1 小时甚至只有几分钟?
我找不到任何“最佳实践”。
所有这些都是标准的,但在大多数身份/身份验证服务器中都是可配置的。
授权码
当用户同意应用程序访问其数据时,他们会返回一个授权代码。该代码通常只能使用五分钟。任何低于这个值的值都可能会导致时钟偏差问题,而且在我看来,没有理由让它更长。
访问令牌
交换授权代码后将返回访问令牌。访问令牌。访问令牌的有效期通常只有 60 分钟。
刷新令牌
刷新令牌是长期存在的令牌。以下是谷歌标准。
- 刷新令牌的有效期为六个月,但这次时间正在减少。
- 如果应用程序六个月未使用刷新令牌,则访问权限将被撤销。
- 用户也可以随时撤销访问权限。
- 取决于要求的范围。某些刷新令牌会在用户更改密码后过期
同样,以上只是谷歌标准。在我工作时使用的身份服务器上。我认为当前的设置是一个月不使用刷新令牌就会过期。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)