0

我目前正在使用 DevDefined OAuth。据我所知,访问令牌永远不会从开箱即用的内存存储中删除,因此它们唯一被清理的时间是它们超时并被删除或应用程序重新启动。我很好奇其他人是如何使用这个的?我似乎很多应用程序只允许身份验证令牌继续存在,直到用户说删除它(假设通过注销),人们是否设置了一些超时时间?或者也许是更新?似乎无限期地保留它们对于社交应用程序或我正在建立业务线的东西可能是有意义的,但这似乎并不正确。

任何人都可以肯定的想法或经验会很有帮助吗?谢谢

4

1 回答 1

2

通常,您应该保留访问令牌,直到它被服务撤销(用户撤销它,或者它过期)。在这种情况下,您可以使用您的请求令牌来获取另一个访问令牌。有些服务有一个 API,你也可以用它来检查你的访问令牌的有效性。

OAuth 并没有真正为您提供解决您的问题的规定 - 例如,如果您的应用程序已被用户授权,您始终可以从请求令牌中获取访问令牌。

如果您关心业务线应用程序,那么也许您可以在应用程序层处理它。例如,我使用的许多应用程序都需要我登录,但一旦我登录,它就会连接到各种 OAuth 服务(即,它重新使用访问令牌)而无需我进一步许可。

于 2012-10-29T11:53:29.490 回答