Oauth 2.0 expirers_in和多个作用域类型
OAuth 2.0 v30在中定义了Oauth 2.0 expirers_in和多个作用域类型,oauth-2.0,oauth-provider,Oauth 2.0,Oauth Provider,OAuth 2.0 v30在中定义了expires\u,以指定令牌过期之前的客户端时间。当您对客户端请求中的所有作用域都有一个持续时间时,这会很好地工作。当存在不止一种类型的作用域时:例如离线-在线(或短寿命/长寿,如果您愿意),OAuth提供程序应该返回什么过期期限?用户授予客户端代表其访问特定作用域内资源的权限。该权限基本上是无限期地授予所有作用域的(因为他对提供者如何处理它没有影响),至少在用户手动撤销提供者端的权限之前是如此。如果他仅撤销部分作用域,则当前发布的访问\u令牌将无效,并且客
expires\u,以指定令牌过期之前的客户端时间。当您对客户端请求中的所有作用域都有一个持续时间时,这会很好地工作。当存在不止一种类型的作用域时:例如离线-在线(或短寿命/长寿,如果您愿意),OAuth提供程序应该返回什么过期期限?用户授予客户端代表其访问特定作用域内资源的权限。该权限基本上是无限期地授予所有作用域的(因为他对提供者如何处理它没有影响),至少在用户手动撤销提供者端的权限之前是如此。如果他仅撤销部分作用域,则当前发布的访问\u令牌
将无效,并且客户端必须使用刷新\u令牌
请求一个新的令牌(该令牌随后仅具有有限的作用域)
令牌过期的原因是,当令牌被盗时,攻击者只能在有限的时间内访问令牌。因此,您设置为提供者的过期时间取决于您对客户的信任程度,前提是客户可以对令牌保密,而不是对作用域保密。要么是我写错了,要么是您按照我不希望的方式得到了它。如前所述,假设您无法在客户端要求的凭据类型(代表用户访问受保护资源的第三方)之间进行选择。所以这个问题有点技术性:包括解释或建议深思熟虑地选择返回的持续时间:长/短/一些混合。对不起,那么我还是不明白。我对您的问题的理解是:您有不同的作用域,根据客户端(第三方)请求的作用域,您希望在
值中返回不同的expires\u。因此,我试图向您解释,为什么我没有理由根据作用域来设置expires\u,因为所有作用域都是由用户无限期授予的。如果这不是你想要的,你能试着用其他的话或者更详细的描述一下吗?