流程是这样的:
- 我们有一个注册了特定资源 ID 的 oauth 应用程序,所以这个应用程序可以访问那些
- 一段时间后,需要添加另一个资源 ID,因为我们正在扩展客户端应用程序的功能
- 客户端应用程序有时会刷新令牌,这可能是由于错误或 access_token 过期。
- 在新的 access_token 上使用 check_token 为我们提供了一组旧的资源 ID。似乎它取自某些缓存或旧令牌本身。
问题:不应该刷新令牌也刷新资源 ID?这是反对oauth rfc(在其中找不到有关此特殊情况的任何信息)吗?
我们当然可以撤销 oauth 应用程序的所有令牌,但这需要我们所有的用户再次登录,这是我们想要避免的。
我不确定它是否与弹簧云安全性或更确切地说是 oAuth 本身有关。C