刷新刷新令牌和刷新访问令牌传递相同的参数
is refresh the refresh token and refresh the access token pass the same parameter
我从这里 https://www.oauth.com/oauth2-servers/access-tokens/refreshing-access-tokens/ 阅读了文档,它告诉我,当我们刷新 access token 时,我们传递了 grant_type 和 refresh_token 参数。刷新 refresh token 怎么样?还用 refresh_token 和 grant_type 传递两个参数?我没有找到 refresh refresh token 标准来说明如何刷新刷新令牌。或者我们根本不应该刷新刷新令牌。只是让用户重新登录?
刷新令牌通常是 longer-lived,因此可以在 shorter-lived 访问令牌过期后使用它们来请求新的访问令牌,但这带来了对刷新令牌安全性的担忧,因为它提供了足够的权力
持有人可以获得一个新的访问令牌以随时访问受保护的资源。通过轮换刷新令牌可以在一定程度上解决这个问题。刷新令牌轮换保证每次应用程序交换刷新令牌以获得新的 access token 时,也会 return 编辑一个新的 refresh token。因此,您不再拥有 long-lived 刷新令牌,如果它遭到破坏,它可能会提供对资源的非法访问。随着刷新令牌不断交换和失效,非法访问的威胁减少了。
Is refresh the refresh token and refresh the access token pass the
same parameter?
结果取决于 authorization server 策略,即在刷新访问令牌时是否应 return 相同或新的刷新令牌。
我从这里 https://www.oauth.com/oauth2-servers/access-tokens/refreshing-access-tokens/ 阅读了文档,它告诉我,当我们刷新 access token 时,我们传递了 grant_type 和 refresh_token 参数。刷新 refresh token 怎么样?还用 refresh_token 和 grant_type 传递两个参数?我没有找到 refresh refresh token 标准来说明如何刷新刷新令牌。或者我们根本不应该刷新刷新令牌。只是让用户重新登录?
刷新令牌通常是 longer-lived,因此可以在 shorter-lived 访问令牌过期后使用它们来请求新的访问令牌,但这带来了对刷新令牌安全性的担忧,因为它提供了足够的权力
持有人可以获得一个新的访问令牌以随时访问受保护的资源。通过轮换刷新令牌可以在一定程度上解决这个问题。刷新令牌轮换保证每次应用程序交换刷新令牌以获得新的 access token 时,也会 return 编辑一个新的 refresh token。因此,您不再拥有 long-lived 刷新令牌,如果它遭到破坏,它可能会提供对资源的非法访问。随着刷新令牌不断交换和失效,非法访问的威胁减少了。
Is refresh the refresh token and refresh the access token pass the same parameter?
结果取决于 authorization server 策略,即在刷新访问令牌时是否应 return 相同或新的刷新令牌。