Oauth 2.0 在一段时间后撤销刷新令牌是否合理?
我读到,我想知道服务器是否应该在一段时间后撤销刷新令牌,然后强制用户再次登录?我记不起最后一次输入Gmail登录凭据是什么时候了Oauth 2.0 在一段时间后撤销刷新令牌是否合理?,oauth-2.0,refresh-token,onlinebanking,Oauth 2.0,Refresh Token,Onlinebanking,我读到,我想知道服务器是否应该在一段时间后撤销刷新令牌,然后强制用户再次登录?我记不起最后一次输入Gmail登录凭据是什么时候了 如果给定用户刷新其令牌达200天,银行(或存储敏感数据的任何网站)该怎么办?他们是否应该允许用户继续使用该网站?我知道这涉及到用户交互,因此这不是一件容易实现自动化的事情。刷新令牌生存期(或启用)由控制资产的管理员决定,而不是由最终用户决定 首选使用短期令牌-技术简单,零维护给定的刷新令牌有一定的到期时间。如果刷新刷新令牌,那么它将重新开始。对吗?你如何解决这个问题?
如果给定用户刷新其令牌达200天,银行(或存储敏感数据的任何网站)该怎么办?他们是否应该允许用户继续使用该网站?我知道这涉及到用户交互,因此这不是一件容易实现自动化的事情。刷新令牌生存期(或启用)由控制资产的管理员决定,而不是由最终用户决定
首选使用短期令牌-技术简单,零维护给定的刷新令牌有一定的到期时间。如果刷新刷新令牌,那么它将重新开始。对吗?你如何解决这个问题?或者那不需要解决?是的。但是RTs是可以更新的。对吗?如果你在它过期之前继续更新它,那么它将继续工作。对吗?@Honey-据我所知,刷新令牌不能被更新。可以使用刷新令牌刷新访问令牌,但是如果刷新令牌过期,用户必须再次执行登录过程。不过,刷新令牌的有效期可能很长,也可能永远不会过期。