授权码 Grant :我知道该代码是用短期令牌交换真正的长期访问令牌。我已经浏览了Oauth 2.0但找不到此信息,所以在这里询问:
- 代码的生命周期是什么?
- 是不是只能一次性使用?
- 代码可以交换多少次以获得访问令牌?
- 为该代码提供访问令牌后,该代码会发生什么情况?
我在 Kong API gateway 上使用 oAuth 2.0 插件。它使代码在特定时间内保持活动状态,并且到那时可以使用相同的代码生成多个访问令牌。这是预期的行为吗?
感谢您的任何建议。
问问题
1359 次
2 回答
1
代码是短暂的一次性访问令牌。一旦它被交换为访问令牌,它应该被标记为无效。
对于Kong问题,最好在这里问
于 2016-07-26T11:21:25.120 回答
1
授权码必须是短暂的,并且应该是一次性使用以避免虚假使用。所以回答你的问题
代码的生命周期是什么?
- 当用户使用authorication_code流进行身份验证时,一旦通过身份验证并授予范围访问权限,将创建一个短暂的(例如 1 分钟)有效代码并将其发送回重定向 uri。
是不是只能一次性使用?
- 是的,它必须是一次性使用以获得最佳安全性,当使用授权码请求访问令牌时,请求成功或失败(由于某些验证错误或服务器错误),授权码必须被删除或标记为已使用(取决于你想如何使用它)
代码可以交换多少次以获得访问令牌?
- 一个授权码只能授予一个访问令牌,因为一旦颁发了访问令牌,该代码将被撤销。
为该代码提供访问令牌后,该代码会发生什么情况?
最佳实践,代码可以删除
查看 google oauth2.0 文档以更好地理解并了解其使用方式。
https://developers.google.com/identity/protocols/OAuth2WebServer
对于 Kong 问题,它似乎是 kong 中的一个错误,他们承诺在 0.9 版本中进行修复。检查这个讨论。
于 2016-07-26T12:25:37.743 回答