Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
当 OAuth 2.0 提供者发布令牌时,该令牌值对于提供者来说是否永远唯一?或者是否有可能在未来的某个时间,大概在令牌过期之后,可能会为不同的用户颁发另一个令牌,其价值相同?在搜索中,我发现了很多关于令牌过期的信息,但没有关于该令牌值是否可能在未来被重新使用的详细信息。
如果您使用 UUID 之类的东西——它取决于时间且是唯一的——所以你不应该让它们可重用。考虑到您将在不同的时刻生成代币——它们都会有所不同。
核心 OAuth 2 规范中没有任何内容可以保证这一点。是否存在冲突的可能性是特定于实现的。您应该从您的 OAuth AS 提供商那里了解可能性是什么。但同意 Artem - 如果您试图根据假设只是一个 API(访问)令牌来唯一标识用户,这听起来很奇怪。