管理OAuth2授权授予寿命
我试图在OAuth2规范中找到任何与授权授权的寿命相关的东西。有人提到访问令牌即将到期,需要刷新/续订,但我没有看到任何关于授权的信息。我的印象是,如果需要终止或撤销授权授予,则必须将其添加到Auth服务器中,并且实际上不在OAuth2框架的范围内 我的理解是正确的还是忽略了什么?这是一个有效的用例吗?RFC 6749(OAuth 2.0授权框架),它: 授权代码必须是短期且一次性使用的 RFC 6819(OAuth 2.0威胁模型和安全注意事项): 基于浏览器的流通过URI查询参数(HTTP referer)、浏览器缓存或日志文件条目将协议参数暴露给潜在的攻击者,并且可以重播。为了减少这一威胁,将传递短期授权“代码”,而不是令牌,并通过客户端和授权服务器之间更安全的直接连接交换令牌 但是,RFC中没有关于授权令牌寿命的确切信息。根据我的经验,可能需要一分钟或几分钟。RFC 6749(OAuth 2.0授权框架): 授权代码必须是短期且一次性使用的 RFC 6819(OAuth 2.0威胁模型和安全注意事项): 基于浏览器的流通过URI查询参数(HTTP referer)、浏览器缓存或日志文件条目将协议参数暴露给潜在的攻击者,并且可以重播。为了减少这一威胁,将传递短期授权“代码”,而不是令牌,并通过客户端和授权服务器之间更安全的直接连接交换令牌 但是,RFC中没有关于授权令牌寿命的确切信息。根据我的经验,可能需要一分钟或几分钟管理OAuth2授权授予寿命,oauth,Oauth,我试图在OAuth2规范中找到任何与授权授权的寿命相关的东西。有人提到访问令牌即将到期,需要刷新/续订,但我没有看到任何关于授权的信息。我的印象是,如果需要终止或撤销授权授予,则必须将其添加到Auth服务器中,并且实际上不在OAuth2框架的范围内 我的理解是正确的还是忽略了什么?这是一个有效的用例吗?RFC 6749(OAuth 2.0授权框架),它: 授权代码必须是短期且一次性使用的 RFC 6819(OAuth 2.0威胁模型和安全注意事项): 基于浏览器的流通过URI查询参数(HTTP