2

在我们正在开发的 API 中,访问令牌是唯一的。我的意思是每个应用程序和用户只能有一个访问令牌。

这样做的结果是,如果用户在两台计算机上对相同的第三方桌面应用程序进行身份验证,则只有第二个将具有有效的访问令牌,而第一个将不得不再次通过身份验证过程(第一个访问令牌将已失效)。

从用户体验的角度来看,这是次优的。从安全的角度来看,它提供了一个小的好处。

很想知道其他人是如何在他们的 API 中实现访问令牌的。每个用户和应用程序一个,还是多个?

4

1 回答 1

2

访问令牌应该是唯一的,但 [user, app] 和 [token] 之间的关系应该是一对多的。而在您的情况下,它是一对一的。它与 OAuth 作为协议无关,而是与您的实现细节有关。

于 2011-05-12T06:40:49.350 回答