OAuth2:“auth_time”声明是否与刷新令牌过期相关?
OAuth2: Is the `auth_time` claim tied to the refresh token expiration?
如果我知道我的身份验证提供商将刷新令牌设置为在 12 小时后过期,并且我已经通过身份验证并且我的 auth_time 声明显示为今天上午 9 点,我可以安全地假设今晚 9 点我的刷新令牌将到期?还是 auth_time 和刷新令牌 issuance/expiration 相互独立?
这取决于身份验证提供商,但在某些提供商中,您可以为不同的令牌设置不同的过期时间 (id/access/refresh)。还有一些支持绝对或滑动到期时间。
可以找到 IdentityServer 的示例过期配置选项 here 以获取灵感。
如果我知道我的身份验证提供商将刷新令牌设置为在 12 小时后过期,并且我已经通过身份验证并且我的 auth_time 声明显示为今天上午 9 点,我可以安全地假设今晚 9 点我的刷新令牌将到期?还是 auth_time 和刷新令牌 issuance/expiration 相互独立?
这取决于身份验证提供商,但在某些提供商中,您可以为不同的令牌设置不同的过期时间 (id/access/refresh)。还有一些支持绝对或滑动到期时间。
可以找到 IdentityServer 的示例过期配置选项 here 以获取灵感。