原则上,在密码授予身份验证之后发出新的刷新令牌时,是否应该撤消任何现有的OAuth 2.0刷新令牌(对于给定的客户端/用户组合)?
我在规范中找不到任何具体内容 . 为后续密码登录重新发出相同的刷新令牌是否合法?
OAuth Spec section-6指定:
授权服务器可以发出新的刷新令牌,在这种情况下,客户端必须丢弃旧的刷新令牌并将其替换为新的刷新令牌 . 授权服务器可以在向客户端发出新的刷新令牌后撤销旧的刷新令牌 . 如果发出新的刷新令牌,则刷新令牌范围必须与请求中客户端包含的刷新令牌的范围相同 .
所以不要求你必须发布一个新的刷新令牌并撤销旧刷新令牌,但是,出于与access_tokens到期相同的原因,发布新的令牌是个好主意 . 受损的refresh_token仅在后续刷新之前有效 . 这将允许开发人员在泄露时撤销刷新令牌 .
1 回答
OAuth Spec section-6指定:
所以不要求你必须发布一个新的刷新令牌并撤销旧刷新令牌,但是,出于与access_tokens到期相同的原因,发布新的令牌是个好主意 . 受损的refresh_token仅在后续刷新之前有效 . 这将允许开发人员在泄露时撤销刷新令牌 .