Oauth 2.0 刷新时返回当前有效的访问令牌,而不是新的访问令牌
我正在实现oauth2授权服务器 当使用oauth2 exchange刷新令牌访问令牌()时,我的客户端—一个在实现拦截器方面遇到问题的移动应用程序(由于许多原因) 和前面一样,我的客户机执行令牌交换流()并且访问令牌存储在数据库中,所以我决定返回当前的访问令牌(仅当它仍然有效时),而不是每次接收刷新令牌时都发出一个新的访问令牌 访问令牌的生命周期很短(约5分钟),用户可以撤销访问令牌和刷新令牌 但该决定不符合rfc6749,rfc6749表示新的访问令牌: 授权服务器对客户端进行身份验证,并验证 刷新令牌,如果有效,则发出新的访问令牌(和, (可选)新的刷新令牌)Oauth 2.0 刷新时返回当前有效的访问令牌,而不是新的访问令牌,oauth-2.0,access-token,interceptor,refresh-token,rfc6749,Oauth 2.0,Access Token,Interceptor,Refresh Token,Rfc6749,我正在实现oauth2授权服务器 当使用oauth2 exchange刷新令牌访问令牌()时,我的客户端—一个在实现拦截器方面遇到问题的移动应用程序(由于许多原因) 和前面一样,我的客户机执行令牌交换流()并且访问令牌存储在数据库中,所以我决定返回当前的访问令牌(仅当它仍然有效时),而不是每次接收刷新令牌时都发出一个新的访问令牌 访问令牌的生命周期很短(约5分钟),用户可以撤销访问令牌和刷新令牌 但该决定不符合rfc6749,rfc6749表示新的访问令牌: 授权服务器对客户端进行身份验证,并验
我想知道这个决定是否会导致任何问题?正如您所指出的,这本身就是违反规范的行为。规范的要点是对刷新令牌请求做一些有用的事情。在您的情况下,刷新令牌请求没有任何意义,因为访问令牌实际上没有刷新。因此,对于您的用例,更好的方法是在访问令牌仍然有效时不让客户端刷新它。但是,建议的方法不会导致任何问题,除了违反规范和可能与某些客户机不互操作之外