为什么OAuth2.0中有两种不同的令牌?
OAuth2.0似乎有两种不同类型的令牌 1:访问令牌为什么OAuth2.0中有两种不同的令牌?,oauth,google-cloud-platform,Oauth,Google Cloud Platform,OAuth2.0似乎有两种不同类型的令牌 1:访问令牌 2:刷新令牌 根据谷歌文档“Python API客户端库:入门” 当用户授予您的应用程序访问权限时,OAuth 2.0 授权服务器为应用程序提供刷新和访问权限 代币。这些令牌仅对请求的范围有效。你的 应用程序使用访问令牌来授权API调用。访问令牌 过期,但刷新令牌不会过期。您的应用程序可以使用刷新 令牌以获取新的访问令牌 表面上看,这对我来说似乎是不必要的复杂性。 简单胜于复杂。 为什么我们需要2个? 管理2的额外复杂性带来了什么好处 这似
2:刷新令牌 根据谷歌文档“Python API客户端库:入门” 当用户授予您的应用程序访问权限时,OAuth 2.0 授权服务器为应用程序提供刷新和访问权限 代币。这些令牌仅对请求的范围有效。你的 应用程序使用访问令牌来授权API调用。访问令牌 过期,但刷新令牌不会过期。您的应用程序可以使用刷新 令牌以获取新的访问令牌 表面上看,这对我来说似乎是不必要的复杂性。
简单胜于复杂。
为什么我们需要2个?
管理2的额外复杂性带来了什么好处 这似乎是一个重复的问题 “刷新令牌的想法是,如果访问令牌因其寿命短而受到破坏,攻击者滥用它的窗口有限 刷新令牌如果遭到破坏,则毫无用处,因为攻击者除了需要刷新令牌外,还需要客户端id和密码才能获得访问令牌。”