OAuth 令牌类型和刷新
OAuth token types and refreshing
在 Google 的 Cross-client Identity 文章中,建议在服务器端存储 OAuth 刷新令牌。
文末有一句话:
Also, if the app always requested a refresh token without checking whether
the server already had one, this would eventually exhaust the finite
number of refresh tokens that can be outstanding for a user/app
combination
所以我有两个问题:
1) 它是否适用于 Android ID tokens,所以我应该将它们保存在 Android 中而不是为每个与服务器同步的会话调用 GoogleAuthUtil.getToken() 吗?
2) 存在多少种 OAuth 令牌?只有在提到的文章中有ID token、access token和refresh token。是否有类似令牌类型的摘要?
谢谢!
1) Android ID令牌的生命周期相对较短(3900秒),由Android自身缓存。
所以你 肯定 每次需要令牌时都必须调用 GoogleAuthUtil.getToken()
2) 令牌类型不是一劳永逸的。它们取决于实施,因此必须根据当前目的加以考虑。
在 Google 的 Cross-client Identity 文章中,建议在服务器端存储 OAuth 刷新令牌。
文末有一句话:
Also, if the app always requested a refresh token without checking whether the server already had one, this would eventually exhaust the finite number of refresh tokens that can be outstanding for a user/app combination
所以我有两个问题:
1) 它是否适用于 Android ID tokens,所以我应该将它们保存在 Android 中而不是为每个与服务器同步的会话调用 GoogleAuthUtil.getToken() 吗?
2) 存在多少种 OAuth 令牌?只有在提到的文章中有ID token、access token和refresh token。是否有类似令牌类型的摘要?
谢谢!
1) Android ID令牌的生命周期相对较短(3900秒),由Android自身缓存。
所以你 肯定 每次需要令牌时都必须调用 GoogleAuthUtil.getToken()
2) 令牌类型不是一劳永逸的。它们取决于实施,因此必须根据当前目的加以考虑。