使用 thephpleague/oauth2-server 使用刷新令牌创建全新的访问令牌
Create a fresh new access token using refresh token using thephpleague/oauth2-server
我在考虑 oAuth 2.0 时遇到了一些问题。特别是,thephpleague/oauth2-server 实现。
我设法设置了一个端点以使用密码授予类型创建访问令牌。也就是说,当某人执行 POST /auth
时,他们会得到以下答案:
{
"access_token": "hleVw03Fx4hVsaCqEmFqcXeks0hsDTkNSxMN17NR",
"token_type": "Bearer",
"expires_in": 3600,
"refresh_token": "GD8kT7JfGULhUKSTSBsF7AO6NaIXrqPS0dlyQjTm"
}
我现在要做的是在 access_token
过期时生成一个新令牌。我知道我应该使用 refresh_token
来请求一个全新的令牌。但是,我没有找到任何文档。
您可以使用刷新授权类型来获取新的访问令牌。这是规范中描述的标准化流程:https://www.rfc-editor.org/rfc/rfc6749#section-6。对令牌端点的示例请求(取自规范)如下所示:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
在这种情况下,客户端使用其 client_id
和 client_secret
通过令牌端点的基本身份验证对自己进行身份验证。在命令行 cURL 中,它看起来像:
curl -u "${CLIENT_ID}:${CLIENT_SECRET}" -d "grant_type=refresh_token&refresh_token=${REFRESH_TOKEN}"
我在考虑 oAuth 2.0 时遇到了一些问题。特别是,thephpleague/oauth2-server 实现。
我设法设置了一个端点以使用密码授予类型创建访问令牌。也就是说,当某人执行 POST /auth
时,他们会得到以下答案:
{
"access_token": "hleVw03Fx4hVsaCqEmFqcXeks0hsDTkNSxMN17NR",
"token_type": "Bearer",
"expires_in": 3600,
"refresh_token": "GD8kT7JfGULhUKSTSBsF7AO6NaIXrqPS0dlyQjTm"
}
我现在要做的是在 access_token
过期时生成一个新令牌。我知道我应该使用 refresh_token
来请求一个全新的令牌。但是,我没有找到任何文档。
您可以使用刷新授权类型来获取新的访问令牌。这是规范中描述的标准化流程:https://www.rfc-editor.org/rfc/rfc6749#section-6。对令牌端点的示例请求(取自规范)如下所示:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
在这种情况下,客户端使用其 client_id
和 client_secret
通过令牌端点的基本身份验证对自己进行身份验证。在命令行 cURL 中,它看起来像:
curl -u "${CLIENT_ID}:${CLIENT_SECRET}" -d "grant_type=refresh_token&refresh_token=${REFRESH_TOKEN}"