为什么不同时发送访问和刷新令牌(OAuth2)?
为什么客户端不能为每个授权请求同时发送访问令牌和刷新令牌?如果访问令牌已过期,则不需要另外两次行程来检索新的访问令牌并最终发出相关请求为什么不同时发送访问和刷新令牌(OAuth2)?,oauth,oauth-2.0,Oauth,Oauth 2.0,为什么客户端不能为每个授权请求同时发送访问令牌和刷新令牌?如果访问令牌已过期,则不需要另外两次行程来检索新的访问令牌并最终发出相关请求 我知道这个操作是分期付款的,但它会减少对非常短的访问令牌的请求数量。在SSL下,我看不出添加刷新令牌如何使其更容易受到攻击。或者是吗?我认为主要原因是刷新令牌和访问令牌被发送到不同的地方。访问令牌被发送到资源服务器,刷新令牌被发送到授权服务器。在一般情况下,资源服务器无法使用刷新令牌。一些原因: 访问令牌提供了一个抽象层,替换了不同的 使用单个 资源服务器可以理
我知道这个操作是分期付款的,但它会减少对非常短的访问令牌的请求数量。在SSL下,我看不出添加刷新令牌如何使其更容易受到攻击。或者是吗?我认为主要原因是刷新令牌和访问令牌被发送到不同的地方。访问令牌被发送到资源服务器,刷新令牌被发送到授权服务器。在一般情况下,资源服务器无法使用刷新令牌。一些原因: 访问令牌提供了一个抽象层,替换了不同的 使用单个 资源服务器可以理解令牌。这种抽象使 颁发比授权授予更严格的访问令牌 用于获取它们,以及删除资源服务器的需要 了解广泛的身份验证方法
- 让资源服务器理解刷新令牌意味着在可以/应该(由授权服务器)抽象掉刷新令牌时,它们需要做更多的工作
- 刷新请求需要客户端凭据。资源服务器不必查看客户端的凭据
- 刷新令牌应该是持久的,而访问令牌不是(或者不应该是)