0

我们有一个安全的应用程序,它需要非常短的访问令牌有效期(例如,15 分钟)。我们希望访问令牌在用户处于活动状态并进行 API 调用时保持活动状态。但是,一旦有 15 分钟不活动,它就会过期。本质上,到期时间不应该是固定的,而是从最后一次通话开始的 15 分钟。

用于此模型的好的模式是什么?这可能与 OAuth2.

4

1 回答 1

0

OAuth 2.0 没有指定如何验证访问令牌。这取决于资源服务器(即您的 API)和授权服务器之间的协议,因此您可以自由地在实现中将其调整为您描述的场景。

您的资源服务器需要跟踪不活动超时,或者授权服务器可以这样做,并且资源服务器需要调用授权服务器的每次使用以跟踪那里的使用和活动。

于 2017-05-22T14:56:32.687 回答