1

由于使用刷新令牌为您提供了一对新令牌,那么进行刷新与仅获取新的身份验证令牌相比有什么优势?例如:

  • 获得令牌后 65 分钟,我必须刷新它(并获得一个新令牌),或者
  • 只需获得一个新的

为什么不每次都获得一个新的访问令牌?

如果我在自己的服务器/自己的代码中做所有事情,那么刷新有什么好处。还是每小时获得一个新令牌一样好?

在某些情况下,我了解了刷新的要点,但是当一切都在我的控制之下时,是否需要刷新令牌?

4

1 回答 1

1

优势依赖于获取访问令牌的容易程度。

想想授权代码流。如果您没有获得刷新令牌,客户端应用程序必须触发新的授权代码流来检索新的访问令牌。这包括用户授权的最终用户交互(简单来说,最终用户登录)。对于某些应用程序,这种重新登录不是所需的功能。对于他们来说,拥有刷新令牌是一个非常理想的功能。

因此,当您设计应用程序时,如果您不希望最终用户在每次客户端应用程序需要访问令牌时都提供他们的凭据,那么您应该使用刷新令牌。但是,如果不是这种情况,并且您有其他方法来完成访问令牌获取过程,那么这将是一个设计决策。

于 2018-06-07T05:02:32.097 回答