1

OAuth 2.0 v30 定义expires_in在令牌过期之前指定客户端时间。当您对客户要求的所有范围都有单一的持续时间时,这很有效。当有不止一种类型的范围时:例如离线 - 在线(或短期/长期,如果您愿意)OAuth 提供者应该返回多长时间?

4

1 回答 1

-1

用户授予客户代表他访问特定范围内资源的权限。此权限基本上是在所有范围内无限期授予的(因为他对提供者如何处理它没有影响),至少在用户手动撤销提供者端的权限之前。如果他只撤销部分范围,则当前发布access_token的无效,客户必须使用refresh_token.

令牌过期的原因是当它们被盗时,攻击者只能在有限的时间内访问。因此,expires_in您设置为提供者的时间应该取决于您对客户的信任程度,他是否可以将令牌保密而不是范围。

于 2012-07-23T19:00:34.157 回答