我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌 .
我可以使用访问令牌获得受保护的资源,例如典型的Oauth2流程解释,我可以通过刷新令牌获取新的访问令牌 . 在这一点上,一切都好 .
但是,我也可以使用刷新令牌获取受保护的资源!在Oauth2中这是正常的吗?有两个行为的刷新令牌吗?
谢谢
这是不正常的,因为它们最终都在同一个地方,所以首先要有两个令牌 . 访问令牌是在客户端和受保护资源之间使用的 . 刷新令牌仅在客户端和授权服务器之间使用 . 它不应该在这两方之外知道,所以不应该最终在资源服务器上 .
但实际上客户端实现在这里是错误的,因为即使刷新令牌可以让您访问受保护资源,客户端也不应该这样做 .
1 回答
这是不正常的,因为它们最终都在同一个地方,所以首先要有两个令牌 . 访问令牌是在客户端和受保护资源之间使用的 . 刷新令牌仅在客户端和授权服务器之间使用 . 它不应该在这两方之外知道,所以不应该最终在资源服务器上 .
但实际上客户端实现在这里是错误的,因为即使刷新令牌可以让您访问受保护资源,客户端也不应该这样做 .