为什么在设计应用程序授权规范时将刷新令牌设置为 10 年到期
why the refresh token set 10 years to expire when design the app auth specification
我正在使用 auth2.0 设计应用程序授权 api,现在我发现有些公司设置刷新令牌有效期为 10 年!为什么要这样设计?这是一个好习惯吗?我应该将刷新令牌过期时间设置多长时间?
我发现本机应用程序的 google oauth 2.0 刷新令牌永不过期:https://developers.google.com/identity/protocols/oauth2/native-app
这完全取决于您想要强制用户再次登录并重新验证的频率。
在某些系统中,您希望用户更频繁地执行此操作,而在具有例如 10 年刷新令牌的系统中,您不希望用户在第一次成功身份验证后必须再次登录。
将 refresh_token 的生命周期设置为 10 年是个坏主意,因为你有一个很大的安全问题, refresh_token 的最佳实施是在第一次使用它时被撤销或一生不超过access_token。
看我的另一个回答here
我正在使用 auth2.0 设计应用程序授权 api,现在我发现有些公司设置刷新令牌有效期为 10 年!为什么要这样设计?这是一个好习惯吗?我应该将刷新令牌过期时间设置多长时间?
我发现本机应用程序的 google oauth 2.0 刷新令牌永不过期:https://developers.google.com/identity/protocols/oauth2/native-app
这完全取决于您想要强制用户再次登录并重新验证的频率。
在某些系统中,您希望用户更频繁地执行此操作,而在具有例如 10 年刷新令牌的系统中,您不希望用户在第一次成功身份验证后必须再次登录。
将 refresh_token 的生命周期设置为 10 年是个坏主意,因为你有一个很大的安全问题, refresh_token 的最佳实施是在第一次使用它时被撤销或一生不超过access_token。 看我的另一个回答here