WSO2 APIM:我们可以使用 authorizaton_code grant 禁用刷新令牌生成吗
WSO2 APIM: Can we disable Refresh Token generation with authorizaton_code grant
在API管理器中,当客户端使用授权码授权请求访问令牌时,默认生成刷新令牌。我们能否更改此设置,以便 API 管理器不生成带有授权码授予的刷新令牌。
非常感谢
根据 oauth2 规范,这是授权码授予类型的默认行为。如果你想避免获得刷新令牌,你必须编写自定义授权类型 [1].
[1] https://docs.wso2.com/display/IS510/Writing+a+Custom+OAuth+2.0+Grant+Type
感谢@Gayan link 文档。查看引用的源代码后,我发现可以通过在 repository\conf\identity\identity.xml
中注释掉此部分来全局禁用 Refresh Token 生成
<!--
<SupportedGrantType>
<GrantTypeName>refresh_token</GrantTypeName>
<GrantTypeHandlerImplClass>org.wso2.carbon.identity.oauth2.token.handlers.grant.RefreshGrantHandler</GrantTypeHandlerImplClass>
</SupportedGrantType>
-->
如果您已使用身份服务器配置 api 管理器,则必须在两个产品中进行此配置 wso2_home/repository/conf/identity/identity。xml
<!--
<SupportedGrantType>
<GrantTypeName>refresh_token</GrantTypeName>
<GrantTypeHandlerImplClass>org.wso2.carbon.identity.oauth2.token.handlers.grant.RefreshGrantHandler</GrantTypeHandlerImplClass>
</SupportedGrantType>
-->
在API管理器中,当客户端使用授权码授权请求访问令牌时,默认生成刷新令牌。我们能否更改此设置,以便 API 管理器不生成带有授权码授予的刷新令牌。
非常感谢
根据 oauth2 规范,这是授权码授予类型的默认行为。如果你想避免获得刷新令牌,你必须编写自定义授权类型 [1].
[1] https://docs.wso2.com/display/IS510/Writing+a+Custom+OAuth+2.0+Grant+Type
感谢@Gayan link 文档。查看引用的源代码后,我发现可以通过在 repository\conf\identity\identity.xml
<!--
<SupportedGrantType>
<GrantTypeName>refresh_token</GrantTypeName>
<GrantTypeHandlerImplClass>org.wso2.carbon.identity.oauth2.token.handlers.grant.RefreshGrantHandler</GrantTypeHandlerImplClass>
</SupportedGrantType>
-->
如果您已使用身份服务器配置 api 管理器,则必须在两个产品中进行此配置 wso2_home/repository/conf/identity/identity。xml
<!--
<SupportedGrantType>
<GrantTypeName>refresh_token</GrantTypeName>
<GrantTypeHandlerImplClass>org.wso2.carbon.identity.oauth2.token.handlers.grant.RefreshGrantHandler</GrantTypeHandlerImplClass>
</SupportedGrantType>
-->