是否可以使用OAuth2中的其他刷新令牌获取新的刷新令牌?
问题描述:
鉴于场景:是否可以使用OAuth2中的其他刷新令牌获取新的刷新令牌?
- 用户一段时间后进行验证,并获得更新和访问令牌
- ,当刷新令牌即将到期用户想要获得新的刷新令牌使用以前的刷新令牌
这样可以获得新的刷新标记吗?
答
Refresh tokens
通常具有很长的使用寿命。当使用refresh token
请求新的access token
时,OAuth服务器可以发送新的refresh token
以及新的access token
。然后,您可以比较refresh token
是否已更改,并使用新令牌更新当前的refresh token
。当您为refresh token
配置滑动到期并且过期时间即将到来时,通常会发布新的refresh token
。
这是标准或供应商特定的“滑动过期”部分吗? –
我认为这是特定的供应商。在规范中说:“授权服务器可以自行决定颁发刷新令牌”https://tools.ietf.org/html/rfc6749#section-1.5 – rawel