我有一些与 non interactive clients 相关的问题,比如基于oauth2流程的后端应用程序 .
https://auth0.com/docs/api-auth/grant/client-credentials
根据非交互式客户端的oauth2,流程为:
-
应用程序使用其客户端ID和客户端密钥对Auth0进行身份验证 .
-
Auth0验证此信息并返回access_token .
-
应用程序可以使用access_token代表自己调用API .
基于此,我的问题是:
-
后端应用程序应该在本地存储access_token,或者每次客户端使用应用程序时为同一客户端请求新的access_token?
-
如果access_token存储在本地,那么到期时间会发生什么?
-
非交互式客户端的Access_token与交互式用户(登录Web)的access_token相比应具有相同的到期时间?
1 回答
对于客户端凭据授予流程,是否频繁续订或“缓存”返回的JWT访问令牌的决定将取决于您的要求 - 例如,如果范围经常更改,则可能需要经常获取新的访问令牌以确保这些更改反映出来 . 从个人经验来看,通常情况并非如此,因此在令牌过期期间缓存令牌是有意义的,并且保存额外调用Auth0以获取每个请求的新令牌 .
您可以选择在每次发出请求之前检查过期,并在过期时获取新的访问令牌,或者只是尝试在不检查的情况下使用访问令牌,然后仅在使用时收到失败时尝试续订现有令牌 .
与第一个类似的问题 . 由于使用客户端凭据授权流程通常表示机密/可信客户端(您正在存储客户端密钥) - 并且经常用于机器到机器方案 - 因此使用更长的到期时间可能是有意义的 . 但是,如前所述,如果范围可能会发生变化等,那么短暂的过期将导致配置更改(范围)被更快地获取 .