Oauth 访问和刷新令牌的生存期

该应用程序旨在供公司用于管理公司间文件。这些文档可能包含有价值的信息，因此必须是安全的应用程序。我正在使用Oauth2访问和刷新令牌。访问令牌的有效期为15分钟，刷新令牌的有效期为1天。 我还没有找到任何推荐的令牌生存期

• AT为15分钟，RT为1天是否有效？如果是，为什么这些值足够好或不够好
• 对于必须真正安全的应用程序，AT和RT的最佳生存期是多少

---

非常感谢

Gmail与银行账户

我不知道你的生意在哪里。你应该和你的产品团队开会，解释发生了什么，让他们决定。如果需要反复尝试才能得到正确的号码，那也没关系

但对于Gmail来说，刷新令牌几乎永远不会过期。我想不出我最后一次必须再次输入凭据是什么时候了

对于银行来说，刷新令牌似乎仅在10分钟内有效，如果您没有获得新的刷新令牌，则它将变得无效

---

显然，刷新令牌到期时间应该比您的平均用户会话时间长

Gmail与银行账户

我不知道你的生意在哪里。你应该和你的产品团队开会，解释发生了什么，让他们决定。如果需要反复尝试才能得到正确的号码，那也没关系

但对于Gmail来说，刷新令牌几乎永远不会过期。我想不出我最后一次必须再次输入凭据是什么时候了

对于银行来说，刷新令牌似乎仅在10分钟内有效，如果您没有获得新的刷新令牌，则它将变得无效

---

显然，刷新令牌到期时间应该比您的平均用户会话时间长

所以如果我的申请更接近银行。。。如果刷新令牌应该设置为10分钟，那么访问令牌应该有哪个生存期？我发现刷新令牌的生存期应该是：RT=AT的生存期*2；所以，如果我选择15分钟的访问令牌，那么30分钟的刷新令牌就足够了？我理解保密性，但是10分钟的刷新时间来阅读多个文档是不好的。想一想，如果你转到另一个选项卡，然后过来看看你向下滚动到的地方不见了。我想你的用户将需要比一张简单的银行支票更多的时间。我发现建议是将平均会话持续时间增加一倍。对于敏感的内容，刷新令牌不应超过1-3hr（取决于数据的分类）。将刷新令牌到期时间视为“最大可接受持续时间用户未与应用程序交互，但如果用户返回，则无需再次登录，因为他们可以立即刷新其刷新令牌”。对我来说，‘RT=AT*2’的寿命是非常有限的。（有些站点在30分钟-RT 200天内完成）。但我知道你的数据是敏感的。所以如果我的应用程序更接近银行。。。如果刷新令牌应该设置为10分钟，那么访问令牌应该有哪个生存期？我发现刷新令牌的生存期应该是：RT=AT的生存期*2；所以，如果我选择15分钟的访问令牌，那么30分钟的刷新令牌就足够了？我理解保密性，但是10分钟的刷新时间来阅读多个文档是不好的。想一想，如果你转到另一个选项卡，然后过来看看你向下滚动到的地方不见了。我想你的用户将需要比一张简单的银行支票更多的时间。我发现建议是将平均会话持续时间增加一倍。对于敏感的内容，刷新令牌不应超过1-3hr（取决于数据的分类）。将刷新令牌到期时间视为“最大可接受持续时间用户未与应用程序交互，但如果用户返回，则无需再次登录，因为他们可以立即刷新其刷新令牌”。对我来说，‘RT=AT*2’的寿命是非常有限的。（有些站点在30分钟-RT 200天内完成）。但我知道你的数据很敏感。