Oauth 2.0 访问令牌能否比刷新令牌寿命长?
我已经阅读了PingIdentity、Microsoft、auth0甚至Google的各种文档,试图回答一个简单的问题:访问令牌能否比刷新令牌更长寿?上下文是OAuth2.0 让我举例说明。假设我们有一个生存时间(TTL)为10天的刷新令牌。每个访问令牌的TTL为3天。它们是第一天00:00发行的。考虑到我们只在到期边缘刷新这些访问令牌,这意味着我们在第1、4、7和10天获得一个访问令牌。现在,最后一个访问令牌是在一天后(第10天结束时)还是在三天后(第12天结束时)过期 在中,它们指出了第一个选项:访问令牌将与刷新令牌同时过期,发出的TTL仅为一天(好吧,可能性稍小),而不是三天。其他人什么也没有表示,只是跳过了这个问题,他们依赖于这样一个事实,即短暂的访问令牌使讨论变得毫无意义。但有时(如本文中所述),这些访问令牌可使用数周,刷新令牌可使用一年,这与5分钟的使用寿命完全不同Oauth 2.0 访问令牌能否比刷新令牌寿命长?,oauth-2.0,oauth,openid-connect,Oauth 2.0,Oauth,Openid Connect,我已经阅读了PingIdentity、Microsoft、auth0甚至Google的各种文档,试图回答一个简单的问题:访问令牌能否比刷新令牌更长寿?上下文是OAuth2.0 让我举例说明。假设我们有一个生存时间(TTL)为10天的刷新令牌。每个访问令牌的TTL为3天。它们是第一天00:00发行的。考虑到我们只在到期边缘刷新这些访问令牌,这意味着我们在第1、4、7和10天获得一个访问令牌。现在,最后一个访问令牌是在一天后(第10天结束时)还是在三天后(第12天结束时)过期 在中,它们指出了第一个
我的猜测是,这取决于实现/供应商,因为它没有在任何RFC(我可以找到)中明确说明。访问令牌的接收方(如API)从未看到刷新令牌,因此只要访问令牌有效(未过期),接收方将接受该令牌.如果您仅在刷新令牌上剩余的时间内发出访问令牌,则您可能发出的令牌有效期为剩余的秒或分钟。我认为使用几个小时而不是几天到期的访问令牌更有意义,这样即使刷新令牌即将到期,您也可以更轻松地发布令牌。那么对于客户端来说,逻辑就更简单了,如果我有一个有效的刷新令牌,我将能够获得一个可以持续x时间的访问令牌。@ryanm我没有要求实现输入。这是关于理解规范中定义了刷新和访问令牌的生命周期的程度。我上面使用的示例只是一种教学手段。如果有助于传达以下要点,您可以将“天”替换为“分钟”:最终访问令牌是否随刷新令牌一起过期,或者其生存期是否与刷新令牌的身份提供程序设置无关。感谢您的回答,但它没有涉及我问的问题:)