什么';OAuth访问令牌的典型生存时间是多少?
我与一家实现OAuth的公司合作,目前他们提供的什么';OAuth访问令牌的典型生存时间是多少?,oauth,oauth-2.0,Oauth,Oauth 2.0,我与一家实现OAuth的公司合作,目前他们提供的access\u令牌的生命周期为180秒。这对我来说似乎很短,所以我试图从其他公司在网络上的做法中找出访问令牌的典型的生命周期 我在网上看到: 推特 脸谱网 因此,在我看来,180秒太短了,因为它将迫使开发人员不断使用刷新\u令牌来请求新的访问\u令牌 有什么建议吗 EDIT:起初我问“OAuth访问令牌的合理生存时间是多少?”。我将问题改为“OAuth访问令牌的典型生存时间是多少?”,因为我认为这更接近我的实际意思。简短回答: 什么是合理的取
access\u令牌的生命周期为180秒。这对我来说似乎很短,所以我试图从其他公司在网络上的做法中找出访问令牌的典型的生命周期
我在网上看到:
- 推特
- 脸谱网
因此,在我看来,180秒太短了,因为它将迫使开发人员不断使用刷新\u令牌
来请求新的访问\u令牌
有什么建议吗
EDIT:起初我问“OAuth访问令牌的合理生存时间是多少?”。我将问题改为“OAuth访问令牌的典型生存时间是多少?”,因为我认为这更接近我的实际意思。简短回答:
什么是合理的取决于公司政策及其OAuth实施
长答覆:
访问令牌的生存期实际上取决于令牌的供应商,即您的合作伙伴公司的授权服务器及其策略
我同意3分钟很短,但公司的安全政策可能要求在撤销某些权限或删除帐户时,基于这些权限授予访问权限的客户的访问权限在不超过3分钟内被禁用。事实上,这是以相当大的网络和处理开销为代价的(希望如此)
该决策的成本(如:开销)也取决于令牌本身的使用情况。它很少使用,但总是在突发模式下使用,开销可能相对较低。如果它经常使用,但每次仅用于一个API调用,则开销相对较大,因此成本较高
大多数环境都不需要立即删除现场的所有委派访问权限,并且可以承受至少1小时的延迟
另一方面,Twitter和Facebook正在以这样一种方式实现OAuth:当资源服务器接收到访问令牌时,将检查与发布令牌的帐户相关的权限。当然,出于性能原因,资源服务器将缓存这些结果(为了讨论的目的,比如3分钟),但实际上它会产生相同的结果,将“刷新开销”推到资源服务器而不是客户端。(注意,这有点违背了使用结构化自包含访问令牌(如JWT)的目的)
如果你不需要/不想在合理的范围内再次明确验证你的客户,Twitter和Facebook的方法是有效的。由于Twitter和Facebook也不经常对用户进行身份验证,这种方法对他们来说是有意义的
我想你可以说每个用例都是不同的:这完全取决于你想要什么以及你如何实现它。您的公司和Facebook可能不具有可比性,因为它们有不同的令牌、资源服务器实现和对客户端(和用户)身份验证的限制。简短回答:
什么是合理的取决于公司政策及其OAuth实施
长答覆:
访问令牌的生存期实际上取决于令牌的供应商,即您的合作伙伴公司的授权服务器及其策略
我同意3分钟很短,但公司的安全政策可能要求在撤销某些权限或删除帐户时,基于这些权限授予访问权限的客户的访问权限在不超过3分钟内被禁用。事实上,这是以相当大的网络和处理开销为代价的(希望如此)
该决策的成本(如:开销)也取决于令牌本身的使用情况。它很少使用,但总是在突发模式下使用,开销可能相对较低。如果它经常使用,但每次仅用于一个API调用,则开销相对较大,因此成本较高
大多数环境都不需要立即删除现场的所有委派访问权限,并且可以承受至少1小时的延迟
另一方面,Twitter和Facebook正在以这样一种方式实现OAuth:当资源服务器接收到访问令牌时,将检查与发布令牌的帐户相关的权限。当然,出于性能原因,资源服务器将缓存这些结果(为了讨论的目的,比如3分钟),但实际上它会产生相同的结果,将“刷新开销”推到资源服务器而不是客户端。(注意,这有点违背了使用结构化自包含访问令牌(如JWT)的目的)
如果你不需要/不想在合理的范围内再次明确验证你的客户,Twitter和Facebook的方法是有效的。由于Twitter和Facebook也不经常对用户进行身份验证,这种方法对他们来说是有意义的
我想你可以说每个用例都是不同的:这完全取决于你想要什么以及你如何实现它。您的公司和Facebook可能不具有可比性,因为它们有不同的令牌、资源服务器实现和对客户端(和用户)身份验证的限制。简短回答:
什么是合理的取决于公司政策及其OAuth实施
长答覆:
访问令牌的生存期实际上取决于令牌的供应商,即您的合作伙伴公司的授权服务器及其策略
我同意3分钟很短,但公司的安全政策可能要求在r