2

我有两个问题我无法完全理解,希望有人能解释清楚:

1:您请求具有有效代码和范围“access_userdata”的访问令牌。访问令牌保存到数据库中,有效期为 10 天。是否可以向访问令牌添加新范围?这很常见吗?或者您是否直接在用户必须批准的应用程序中列出所有范围?如果可能,您是否只查找访问令牌并将新范围添加到其中?

2:假设您创建了一个应用程序,可在您的计算机和平板电脑上使用。首先,您会在计算机上获得一个设置为 10 天的访问令牌。第二天,您在平板电脑上执行相同操作。是否会生成新的访问令牌?或者服务器是否会返回相同的令牌,因为您与计算机上的用户相同,并且令牌尚未过期?我想您可以为同一用户拥有多个访问令牌?

4

1 回答 1

2

这是个好问题 =)

首先,我假设当你说你有一个令牌时,你实际上有一个 JSON Web 令牌(JWT)——对吗?我会这样假设。

  1. JWT 签名后无法修改。所以不,您不能“修改”现有令牌,而只能“添加”范围。但是,您可以做的是创建一个新的 JWT 对象,并将其与新包含的范围一起存储在您的数据库中。如果您的令牌是由 Google 或 Facebook 等第三方提供商提供给您的,您不能自己修改这些令牌。只有发行令牌的人才能更改它。

  2. 这取决于令牌的发行者。通常,使用 OAuth 流程,答案是肯定的:您登录的每台设备都将获得一个具有自己到期日期/时间的全新令牌。单个用户拥有许多令牌是很常见的。

于 2016-01-21T20:45:47.730 回答