为什么不同时发送访问和刷新令牌（OAuth2）？_Oauth_Oauth 2.0

为什么不同时发送访问和刷新令牌（OAuth2）？

oauth oauth-2.0

为什么不同时发送访问和刷新令牌（OAuth2）？,oauth,oauth-2.0,Oauth,Oauth 2.0,为什么客户端不能为每个授权请求同时发送访问令牌和刷新令牌？如果访问令牌已过期，则不需要另外两次行程来检索新的访问令牌并最终发出相关请求我知道这个操作是分期付款的，但它会减少对非常短的访问令牌的请求数量。在SSL下，我看不出添加刷新令牌如何使其更容易受到攻击。或者是吗？我认为主要原因是刷新令牌和访问令牌被发送到不同的地方。访问令牌被发送到资源服务器，刷新令牌被发送到授权服务器。在一般情况下，资源服务器无法使用刷新令牌。一些原因：访问令牌提供了一个抽象层，替换了不同的使用单个资源服务器可以理

为什么客户端不能为每个授权请求同时发送访问令牌和刷新令牌？如果访问令牌已过期，则不需要另外两次行程来检索新的访问令牌并最终发出相关请求

我知道这个操作是分期付款的，但它会减少对非常短的访问令牌的请求数量。在SSL下，我看不出添加刷新令牌如何使其更容易受到攻击。或者是吗？

我认为主要原因是刷新令牌和访问令牌被发送到不同的地方。访问令牌被发送到资源服务器，刷新令牌被发送到授权服务器。在一般情况下，资源服务器无法使用刷新令牌。

一些原因：

访问令牌提供了一个抽象层，替换了不同的使用单个资源服务器可以理解令牌。这种抽象使颁发比授权授予更严格的访问令牌用于获取它们，以及删除资源服务器的需要了解广泛的身份验证方法

让资源服务器理解刷新令牌意味着在可以/应该（由授权服务器）抽象掉刷新令牌时，它们需要做更多的工作

因为刷新令牌通常是用于请求其他访问令牌时，刷新令牌将绑定到向其发出该证书的客户机如果客户端类型是机密的或已向客户端颁发客户端凭据（或为其分配其他凭据）身份验证要求），客户端必须通过授权服务器如第3.2.1节所述

刷新请求需要客户端凭据。资源服务器不必查看客户端的凭据

刷新令牌应该是持久的，而访问令牌不是（或者不应该是）

就是这样。将刷新令牌发送到授权服务器以续订访问令牌。访问令牌被发送到资源服务器以获取资源。他们的行为完全不同