假设我们有一个支持“读”和“写”范围的 OAuth2 实现。
我检索具有“读取”范围的访问令牌“f482c829”。如果我改变主意,现在想要读+写权限并再次使用“读”和“写”范围授权,你会:
- 更新现有访问令牌的范围并返回相同的令牌“f482c829”?
- 如果使用相同的令牌,如果在更新范围之前使用 response_type=code,要求回收访问令牌?(我想是的)
- 更新现有访问令牌的范围并返回刷新的令牌“zf382nL”?
- 创建一个全新的令牌,使“f482c829”及其范围完好无损?
如果您每次为每个范围创建一个新令牌,您最终必须在每个授权和不同的权限存储多个访问令牌。我一直犹豫要不要这样实施。
不幸的是,OAuth2 规范(从草案 12 开始)没有解决任何这些问题。