我目前正在研究 Oauth 2.0 和 OIDC,我对访问令牌感到困惑。如果最终用户仍在与应用程序交互,并且应用程序从授权服务器获取的访问令牌已过期,应用程序如果没有刷新令牌并需要访问某些资源该怎么办?最终用户是否应该被重新认证?
预先感谢您的帮助
我目前正在研究 Oauth 2.0 和 OIDC,我对访问令牌感到困惑。如果最终用户仍在与应用程序交互,并且应用程序从授权服务器获取的访问令牌已过期,应用程序如果没有刷新令牌并需要访问某些资源该怎么办?最终用户是否应该被重新认证?
预先感谢您的帮助
如果访问令牌已过期并且您没有刷新令牌,那么您必须让用户登录并重新进行身份验证。有时 OIDC 服务器可以记住用户并再次自动登录用户。但是如何做到这一点是非常具体的实现。如何做到这一点超出了规范的范围。