遵循RFC 6749的本节,授权服务器不得为Implicit Grant流发出刷新令牌 .
https://tools.ietf.org/html/rfc6749#page-35
我打算在单页面应用程序中使用带有刷新令牌的隐式授权流程,避免每次访问令牌到期时为用户请求新的授权过程 .
任何人都可以在RFC中清除这种约束的原因吗?
谢谢 :)
遵循RFC 6749的本节,授权服务器不得为Implicit Grant流发出刷新令牌 .
https://tools.ietf.org/html/rfc6749#page-35
我打算在单页面应用程序中使用带有刷新令牌的隐式授权流程,避免每次访问令牌到期时为用户请求新的授权过程 .
任何人都可以在RFC中清除这种约束的原因吗?
谢谢 :)
1 回答
Eduardo,在隐式授权流程中,客户端通过“用户代理”(也称为来自用户的浏览器)请求访问资源 . 所以客户想要 grab 一些东西,但需要用户输入它的权限 . 如果auth服务器提供了刷新令牌,那么客户端可能会在将来跳过询问用户的权限并永久授予自己访问权限(基本上在没有用户权限的情况下重新获取其令牌) . 所以他们在流程中禁止它,因为“不受信任的”客户端应该只通过让用户输入他们的凭证来访问(因此只有当资源所有者允许时) .