WSO2是-OAuth2/OIDC，提供相同的令牌

我有一个应用程序，它利用了IS as 5.5的Oauth2 OIDC。我面临一个问题，即重新身份验证（/oauth2/authorize）始终提供相同的访问令牌和到期时间

我在两个案例中观察到了这个问题： 1.使用iframe进行静默刷新 2.注销（/oidc/Logout）并再次登录（如果以前的令牌尚未过期）

我是否缺少任何配置，或者这实际上与预期的一样

谢谢

重新身份验证（/oauth2/authorize）在

如果您使用相同的参数（相同的用户、相同的范围、相同的应用程序等）请求访问令牌，如果该令牌仍然有效，您可能会得到相同的令牌（不像新请求会返回新令牌）。如果您确实需要一个新的令牌，您应该撤销现有的令牌

注销（/oidc/Logout）并再次登录（如果以前的令牌尚未过期）

---

用户会话和访问令牌并没有真正绑定在一起。您可能希望在注销时撤销用户的访问令牌

，但是，如果返回的令牌/到期日与以前相同，如何对隐式流执行静默刷新？这是标准流还是wso2就是这样工作的？因为客户端库从未提到过这一点。据我所知，当客户端在当前令牌到期之前通过iframe重新验证时（对于隐式流），客户端应该能够续订令牌/到期。如果我是，请纠正我wrong@Binbo

当客户端通过iframe重新验证时，应该能够续订令牌/到期日

这是您的假设，没有人承诺过类似的事情（访问令牌和用户会话不受限制）。使用隐式授权有一些限制（例如没有刷新令牌）。您将OAuth访问令牌与用户会话任意绑定，因此您必须处理它（例如撤销令牌，然后通过重新身份验证请求新的令牌）。默认（最常用的）方式是代码授权，它附带一个刷新令牌（用于请求新的访问令牌）。