在 Auth0 中,您可以使用刷新令牌。在这个链接中,我们可以看到很多返回的参数:
lock.showSignin({
authParams: {
scope: 'openid offline_access'
}
}, function (err, profile, id_token, access_token, state, refresh_token) {
// store refresh_token
});
显然,access_tokens可用于检索用户配置文件数据。但这似乎是oauth特有的,我认为auth0使用openid?
id_token和 和有什么不一样access_token?
OpenID Connect 建立在 OAuth2 之上。
access_token对于调用 Auth0 中的某些 API(例如/userinfo)或您在 Auth0 中定义的 API 很有用。id_token是一个JWT,代表已登录的用户。它经常被您的应用程序使用。refresh_token(仅供移动/桌面应用程序使用)不会过期(但可撤销),它允许您获得新鲜铸造access_tokens的和id_token.资源服务器(您的服务器端应用程序)仅接受来自客户端的访问令牌。这是因为访问令牌旨在授权对资源的访问。另一方面,ID 令牌用于身份验证。这是由OpenID提供者授予的,其中包含有关最终用户的信息。资源
访问令牌是应用程序用来代表用户发出 API 请求的东西。访问令牌代表特定应用程序访问用户数据的特定部分的授权。访问令牌必须保密。
刷新令牌的想法是,如果访问令牌被泄露,因为它是短暂的,攻击者有一个有限的窗口来滥用它。刷新令牌,如果被泄露,将毫无用处,因为攻击者除了刷新令牌之外还需要客户端 ID 和密码才能获得访问令牌。资源
刷新令牌的生命周期取决于(AS)授权服务器——它们可以过期、被撤销等。刷新令牌和访问令牌之间的区别在于受众:刷新令牌只返回到授权服务器,访问令牌转到(RS)资源服务器。资源