在 OAuth 2.0 访问令牌上反映用户配置文件更改

Reflecting User Profile changes on an OAuth 2.0 Access Token

我正在尝试了解我们如何(或是否)在刷新授权期间发布的 JWT OAuth 2.0 Access Token 上更新用户个人资料更改,如姓名、电子邮件等。通常,听起来不仅这些令牌是不可变的,而且在信息的刷新授权 none 期间也是如此,除了 iatnbfexp 等属于可以更新新令牌的生命周期。这是准确的吗?如果是这样,我如何才能反映用户个人资料的更改(如姓名等)并确保访问令牌具有准确的信息?

访问令牌是不可变的,但您正在谈论发布新的访问令牌。我不知道有任何规范会限制新访问令牌与旧访问令牌具有相同的声明。

说你应该记住,访问令牌并不意味着携带有关经过身份验证的用户的信息,而是授权请求所需的信息。您最好实现一个 userinfo 端点(如 OpenID Connect 标准中所用),并从该端点读取配置文件数据。这样您就可以确保从该端点返回的数据始终是最新的。