问题标签 [refresh-token]

抱歉这个简单的问题，我一直在寻找“如何使用它们”而不是“何时使用它们”的例子

基本上我已经完成了创建refreshToken和销毁它的代码

但我的问题是我不知道我应该什么post时候/token

例如，有人post向他们自己的个人资料发出请求，/profile/me但得到一个权限错误，现在是什么，我该如何自动化/token

如果它不要求我澄清，我希望这是有道理的

在我的 Java/Ionic2 应用程序中，我通过 REST 服务请求使用刷新令牌对 Google Drive 进行身份验证，然后使用 access_type=offline，如下所述：https ://developers.google.com/identity/protocols/OAuth2WebServer#刷新。

服务器响应 200 OK，因此它只在我第一次请求访问时给了我一个刷新和一个访问令牌。如果我尝试使用已授权的帐户从同一个浏览器重做所有身份验证过程，即使在注销后，服务器响应也不会给我刷新令牌，而只会给我访问令牌。为什么？有人遇到过这样的问题吗？谢谢

我正在实现 android 帐户身份验证器，到目前为止，我可以添加帐户获取令牌等。问题是当我更改凭据服务器端时。

如果凭据更改，我无法从服务器收到通知，因此我的下一个 API 请求将被拒绝，因为令牌不再有效。

请求被拒绝后，可能有 2 个原因 -> 令牌已过期或凭据不再有效

发生这种情况时，我使保存的令牌无效并调用 getAuthToken()

在我的 getAuthToken() 中，我首先尝试请求新令牌，如果它被拒绝意味着凭据不再可用，因此我需要提示登录活动。问题是 AccountAuthenticatorResponse.onError 似乎只能记录错误，仅此而已。我尝试使用 AccountAuthenticatorResponse.onResult 传递带有 KEY_INTENT 的捆绑包进行登录活动，但它没有做任何事情。有什么想法吗？

//authenticatorResponse.onResult(loginActivityBundle); authenticationatorResponse.onError(errorResponse.networkResponse.statusCode, "error");

我一直试图让我的刷新令牌工作一段时间，我希望我已经接近了。我的令牌刷新并触发对任何导致 401 的调用的后续 200 调用，但我页面上的数据不会刷新。

当访问令牌过期时，会发生以下情况：

在 401 之后，GetListofCompanyNames 返回 200，其中包含使用正确更新的访问令牌的名称列表。但是，我的下拉菜单不会刷新。

我的拦截器：

我关于 401 拒绝的返回声明在这里看起来很可疑，但我不确定用什么来代替它。因此我的问题是：当我拨打新电话时，如何让我的页面刷新它的数据？

更新：

当 200 返回时，这让我过去了，我可以得到一个下拉菜单来刷新，但是我失去了页面上的任何状态（例如选择的下拉菜单），如下所示。

回到绘图板！

我已经审查了很多问题，但尚未解决问题。对于身份验证，包括Microsoft.AspNetCore.Authentication.MicrosoftAccount。身份验证和授权运行良好。除了令牌刷新之外，该库会自动执行所有操作，这似乎很尴尬。

对于令牌刷新，offline_access包括：

令牌保存在AspNetUserTokens表中。

使用访问令牌，成功返回联系人和电子邮件，并代表用户成功发送电子邮件。但是，当尝试使用刷新令牌时，会返回“错误请求” [400] 错误。

我用 fiddler 查看了请求，它看起来是正确的。我已经在纯 REST 解决方案中使用了上面类似的代码，并且没有遇到任何困难。

我原以为他们的库会有更好的解决方案来刷新令牌，因为它可以毫不费力地用于原始身份验证和授权。有没有更好的方法来解决这个问题？如果不是，为什么请求被拒绝？

编辑：

删除redirect_uri导致相同的错误响应。用 fiddler 深入观察，错误响应 (JSON) 的正文以以下内容开头：

但是我确信整个 refresh_token 已正确保存和发送，最后一次测试有 953 个字符。

我已经使用链接http://bitoftech.net/2014/07/16/enable-oauth-refresh-tokens-angularjs-app-using-asp-net-web-api-2-owin实现了 Refresh Token 来刷新 access_token /当代码部署到负载平衡服务器时，有时刷新令牌会出现在令牌响应中，有时不是。它在本地环境中运行良好。您能否指导我哪里出错或如何检查任何特定服务器是否返回无效响应。请指教。

谢谢

在使用 Firebase 的 REST API 测试我们的一个产品（一个 Web 应用程序）的安全性时，当我们意识到在 Firebase 实现的 V3 中刷新令牌永不过期时，我们感到很惊讶，允许任何刷新令牌永远创建新令牌.

虽然本地存储在今天似乎是一个相当安全的解决方案，但我们担心它明天可能会失败，即使是很短的时间，而且我们无法阻止某人使用这些刷新令牌中的任何一个。

两因素身份验证将有助于缓解该问题，但第一步仍然会受到影响。

有没有办法使用 Firebase 将代币或类似行为列入黑名单，而不需要我们自己处理所有代币交换，例如铸币？我们在浏览文档时找不到这样的功能。

任何建议表示赞赏。

我们有一个安全的应用程序，它需要非常短的访问令牌有效期（例如，15 分钟）。我们希望访问令牌在用户处于活动状态并进行 API 调用时保持活动状态。但是，一旦有 15 分钟不活动，它就会过期。本质上，到期时间不应该是固定的，而是从最后一次通话开始的 15 分钟。

用于此模型的好的模式是什么？这可能与 OAuth2.

我正在使用 iOS ADAL 库版本 2.2.6 并在成功登录后接收刷新令牌。现在我想使用这个刷新令牌进行静默呼叫。我尝试使用以下方法，但无法返回访问令牌。

但它总是抛出一个错误说"The user credentials are needed to obtain access token. Please call the non-silent acquireTokenWithResource methods."

有没有办法使用刷新令牌进行静默呼叫？请帮助我。提前致谢。

我正在使用 emberjs，我可以从https://www.googleapis.com/oauth2/v4/token获得此响应

但即使在第一次身份验证时，我也永远不会获得刷新令牌。我坚持了几个小时有人可以帮助我吗

我的请求参数