这些天我一直在努力学习一些服务器端框架 . 我不是oauth2的专家,但我在团队中使用了api . 他们使用Resource owner credentials grant授予我访问权限,grant_type为password,client_id和client_secret . 我可以同时登录多个浏览器 . 正如我已经尝试过sas js oauth 2和laravel passport oauth2 . 我很困惑 . 他们两个使用grant_type密码撤销我的旧access_token . 使用laravel passport和sas js oauth2和grant_type密码 . 我一次只能在一台设备或浏览器上登录 . 我很困惑哪一个是正确的做法 .
这是oauth2真正起作用的吗?你只能登录并使用一个访问令牌?
如果这是标准方式,则撤销旧的访问令牌 . 我应该使用什么类型的授权类型 . 所以我的多个设备可以同时登录?
1 回答
行为 - 是否发布新的访问令牌使现有的访问令牌无效 - 取决于OAuth 2.0服务器实现 . OAuth 2.0规范(RFC 6749)不对行为施加任何限制 .
实际上,某个OAuth 2.0服务器实现提供了一项功能,使服务器管理员能够配置该行为 . 以下是有关配置项(“每个主题的单一访问令牌”)的描述的屏幕截图 .
因此,重要的不是
grant_type,而是您正在使用的OAuth 2.0服务器的实施策略 .