如果我的用户会话持续 30 分钟,那么我的 Oauth2 访问令牌应该持续多长时间?
If my user sessions lasts 30 minutes, what is the correct amount of time that my Oauth2 access token should last?
我想澄清一些关于 OAuth2 的事情。假设我有一个基于 Web 的应用程序和一个资源 /dashboard,它是特定于用户的并且我希望通过 OAuth2 进行保护。进一步假设我的用户会话持续 30 分钟。通常我见过 30 秒的访问令牌的有效性值。因此,如果我的用户登录、获取访问令牌,然后在 30 秒内无法访问 /dashboard,他们是否必须向浏览器发出两次请求——一个获取访问令牌,第二个使用该访问令牌获取 /dashboard 资源?这似乎非常不方便。我是否应该让我的访问令牌长度与我的会话长度相同以避免这样的不便?
我正在使用 Spring 4.1.5.RELEASE、Spring security 3.2.5.RELEASE 和 oauth2 2.0.5.RELEASE(如果有的话) .
谢谢,-戴夫
访问令牌有效期比标准更方便。例如,Twitter 永远不会撤销令牌,除非用户明确这样做。因此,如果您的会话有效期为 30 分钟,您可以将访问令牌有效期设置为 30 分钟。
我想澄清一些关于 OAuth2 的事情。假设我有一个基于 Web 的应用程序和一个资源 /dashboard,它是特定于用户的并且我希望通过 OAuth2 进行保护。进一步假设我的用户会话持续 30 分钟。通常我见过 30 秒的访问令牌的有效性值。因此,如果我的用户登录、获取访问令牌,然后在 30 秒内无法访问 /dashboard,他们是否必须向浏览器发出两次请求——一个获取访问令牌,第二个使用该访问令牌获取 /dashboard 资源?这似乎非常不方便。我是否应该让我的访问令牌长度与我的会话长度相同以避免这样的不便?
我正在使用 Spring 4.1.5.RELEASE、Spring security 3.2.5.RELEASE 和 oauth2 2.0.5.RELEASE(如果有的话) .
谢谢,-戴夫
访问令牌有效期比标准更方便。例如,Twitter 永远不会撤销令牌,除非用户明确这样做。因此,如果您的会话有效期为 30 分钟,您可以将访问令牌有效期设置为 30 分钟。