Spring security 如果我的用户会话持续30分钟,我的Oauth2访问令牌应该持续多长时间?
我想澄清一些关于OAuth2的事情。假设我有一个基于web的应用程序和一个资源/dashboard,它是特定于用户的,我希望通过OAuth2保护它。进一步假设我的用户会话持续30分钟。通常我看到访问令牌的有效性值为30秒。因此,如果我的用户登录,获取访问令牌,然后在30秒内无法访问/dashboard,那么他们是否必须向浏览器发出两个请求—一个请求获取访问令牌,另一个请求使用该访问令牌获取/dashboard资源?这似乎非常不方便。我是否应该让我的访问令牌长度与会话长度相同,以避免这样的不便 我使用的是Spring4.1.5.RELEASE、SpringSecurity3.2.5.RELEASE和oauth2.0.5.RELEASE,如果有任何价值的话Spring security 如果我的用户会话持续30分钟,我的Oauth2访问令牌应该持续多长时间?,spring-security,oauth-2.0,access-token,spring-security-oauth2,Spring Security,Oauth 2.0,Access Token,Spring Security Oauth2,我想澄清一些关于OAuth2的事情。假设我有一个基于web的应用程序和一个资源/dashboard,它是特定于用户的,我希望通过OAuth2保护它。进一步假设我的用户会话持续30分钟。通常我看到访问令牌的有效性值为30秒。因此,如果我的用户登录,获取访问令牌,然后在30秒内无法访问/dashboard,那么他们是否必须向浏览器发出两个请求—一个请求获取访问令牌,另一个请求使用该访问令牌获取/dashboard资源?这似乎非常不方便。我是否应该让我的访问令牌长度与会话长度相同,以避免这样的不便 我
谢谢,-Dave访问令牌有效期与其说是标准,不如说是一种方便。例如,Twitter永远不会撤销代币,除非用户明确这么做。因此,如果会话的有效期为30分钟,则可以将访问令牌的有效期设置为30分钟。访问令牌的有效期与其说是标准,不如说是方便。例如,Twitter永远不会撤销代币,除非用户明确这么做。因此,如果您的会话有效期为30分钟,您可以将访问令牌有效期设置为30分钟。听起来不错,但假设用户在会话中持续活动超过30分钟,当初始30分钟结束时,他们将必须请求新的访问令牌。是否正确?好,但这怎么会比正常的Spring安全性更好呢?对于最终用户来说,这似乎是一个更大的麻烦,但没有真正为您带来任何好处。听起来不错,但假设用户在会话中持续活动超过30分钟,当最初的30分钟结束时,他们将不得不请求一个新的访问令牌。对吗?好的,但这如何比正常的Spring安全性更好?对于最终用户来说,这似乎更像是一件麻烦事,却没有真正为您带来任何好处。