如果您的访问令牌只有 10-15 分钟或更短的生命周期,您真的需要实施刷新令牌吗?
If your access tokens only have a life of 10-15 minutes or shorter, do you really need to implement refresh tokens?
我在实施 OAuth2/OWIN/Katana Authentication/Authorization 时要求令牌只能存活几分钟,最多 10 个,也许 15 个。如果是这种情况,我是否需要刷新令牌实施的?据我了解,它们只是长期使用的好处 "sessions"
我假设您在谈论自定义实现。如果您同意再次提示用户,则不需要刷新令牌。刷新令牌的存在使您可以拥有必须经常更新的短期访问令牌,让您有机会通过使刷新令牌本身无效来撤销它们。如果您不需要在超过 10、15 分钟的时间范围内使用令牌,那么您可能不需要刷新令牌。
我在实施 OAuth2/OWIN/Katana Authentication/Authorization 时要求令牌只能存活几分钟,最多 10 个,也许 15 个。如果是这种情况,我是否需要刷新令牌实施的?据我了解,它们只是长期使用的好处 "sessions"
我假设您在谈论自定义实现。如果您同意再次提示用户,则不需要刷新令牌。刷新令牌的存在使您可以拥有必须经常更新的短期访问令牌,让您有机会通过使刷新令牌本身无效来撤销它们。如果您不需要在超过 10、15 分钟的时间范围内使用令牌,那么您可能不需要刷新令牌。