Oauth 刷新令牌授予类型
Oauth refresh token grant types
我正在学习 Oauth 授权 types.I 观察到刷新令牌仅适用于
authorization Code 和 Resource Owner Password Credential Grant 。
我的问题是为什么它仅适用于授权代码和资源所有者密码凭据授予而不适用于隐式和客户端凭据授予?
如果您使用的是 v5,则可以使用 https://docs.spring.io/spring/docs/5.0.0.M5_to_5.0.0.RC1/Spring%20Framework%205.0.0.RC1/org/springframework/web/cors/CorsConfiguration.html
CorsConfiguration#applyPermitDefaultValues
或者您可以使用
@RestController
@CrossOrigin(origins = "*", methods= {RequestMethod.GET,RequestMethod.POST})
public class HelloRESTController {
Refresh tokens 应该只发给在使用它时可以验证自己的客户端。
授予的授权码是给confidential clients(可以保密的客户端)使用的。刷新令牌的使用应使用客户端凭据进行身份验证。
资源所有者密码凭据流发出刷新令牌,这样客户端就不必保留用户的用户名和密码了。它可以使用刷新令牌来获取新的访问令牌。
隐式授权旨在供 public 客户(不能保守秘密)使用。由于他们无法保密,因此这些客户端无法将客户端凭据用于刷新授权。
最后,客户端凭证流不需要刷新令牌,因为它可以在旧令牌过期时使用客户端凭证获取新的访问令牌。
我正在学习 Oauth 授权 types.I 观察到刷新令牌仅适用于 authorization Code 和 Resource Owner Password Credential Grant 。 我的问题是为什么它仅适用于授权代码和资源所有者密码凭据授予而不适用于隐式和客户端凭据授予?
如果您使用的是 v5,则可以使用 https://docs.spring.io/spring/docs/5.0.0.M5_to_5.0.0.RC1/Spring%20Framework%205.0.0.RC1/org/springframework/web/cors/CorsConfiguration.html
CorsConfiguration#applyPermitDefaultValues
或者您可以使用
@RestController
@CrossOrigin(origins = "*", methods= {RequestMethod.GET,RequestMethod.POST})
public class HelloRESTController {
Refresh tokens 应该只发给在使用它时可以验证自己的客户端。
授予的授权码是给confidential clients(可以保密的客户端)使用的。刷新令牌的使用应使用客户端凭据进行身份验证。
资源所有者密码凭据流发出刷新令牌,这样客户端就不必保留用户的用户名和密码了。它可以使用刷新令牌来获取新的访问令牌。
隐式授权旨在供 public 客户(不能保守秘密)使用。由于他们无法保密,因此这些客户端无法将客户端凭据用于刷新授权。
最后,客户端凭证流不需要刷新令牌,因为它可以在旧令牌过期时使用客户端凭证获取新的访问令牌。