如何在不重新登录的情况下获得具有额外范围的新访问令牌?
How to get a new access token with additional scope without re-login?
我正在使用 Cloudfoundry UAA
我不确定在标准 oauth2 中是否可行。
情况是 ->
- 用户登录应用程序
- 他收到 access_token 和 refresh_token
- 他可以继续获取具有原始范围的新 access_tokens
- 他的访问权限发生变化,因此为他添加了新的范围
现在我需要一个新的访问令牌,没有他重新登录。
我是否可以使用相同的 refresh_token 并要求 access_token 修改范围?
提前致谢!
一句话,没有。这将是对用户信任的违反。
如果你还没有听说过,那就太糟糕了。
有一个互联网草案 RFC OAuth 2.0 Incremental Authorization(由 Google 提出)
有人在谈论它here。
我正在使用 Cloudfoundry UAA
我不确定在标准 oauth2 中是否可行。 情况是 ->
- 用户登录应用程序
- 他收到 access_token 和 refresh_token
- 他可以继续获取具有原始范围的新 access_tokens
- 他的访问权限发生变化,因此为他添加了新的范围
现在我需要一个新的访问令牌,没有他重新登录。 我是否可以使用相同的 refresh_token 并要求 access_token 修改范围?
提前致谢!
一句话,没有。这将是对用户信任的违反。 如果你还没有听说过,那就太糟糕了。
有一个互联网草案 RFC OAuth 2.0 Incremental Authorization(由 Google 提出) 有人在谈论它here。