为什么不用 accessToken 直接刷新 accessToken,而要用 refAccessToken 刷新 accessToken
niuker · 2018-12-11 17:33:23 +08:00 · 3216 次点击这是一个创建于 2160 天前的主题,其中的信息可能已经有所发展或是发生改变。
oauth2.0 中。为什么不用 accessToken 直接刷新 accessToken,而要用 refAccessToken 刷新 accessToken ?
16 条回复 • 2018-12-12 13:36:42 +08:00
 |
1
CDuXZMAPgHp1q9ew 2018-12-11 17:44:27 +08:00
怕 accessToken 泄露, 所以 accessToken 会过期, 如果用 accessToken 刷 accessToken, 那不是白搞了
|
 |
2
maichael 2018-12-11 17:46:28 +08:00
accessToken 可以刷新 accessToken 的话,accessToken 不就永远不会过期么。
|
 |
3
niuker OP @maichael
如果是用 accessToken 刷 accessToken,刷回来的 accessToken 会变化,原来的 accessToken 还是会过期 |
 |
4
loveCoding 2018-12-11 17:50:23 +08:00
顺着想法反推一下,那还刷新干嘛呢? accessToken 作为刷新凭证就是换汤不换药啊
|
|
5
maichael 2018-12-11 17:55:30 +08:00
|
 |
6
pljhonglu 2018-12-11 17:57:33 +08:00
accessToken 在传输的过程中可能泄漏
|
 |
7
momocraft 2018-12-11 18:01:38 +08:00
定义两种 token 后:
oauth provider 一方:可以把权限管理和(用于资源的)权限验证分开 client 一方:在有选择时可以把 accesstoken 放较不安全设备上而不导致无限期的权限泄漏 |
 |
8
mydns 2018-12-11 18:03:59 +08:00
拿旧密码去换新密码
|
 |
9
jswh 2018-12-11 18:05:11 +08:00
accessToken 要交给客户端,refAccessToken 一般放在服务端
|
 |
10
zsdroid 2018-12-11 18:10:36 +08:00
@niuker #3 我拿到 accessToken 的时候就已经去刷新到新的了,原来的 accessToken 过期没有我都不关心
|
 |
11
also24 2018-12-11 18:32:04 +08:00
本来自己敲的,看了下 SF,觉得直接看回答就足够了:
https://stackoverflow.com/questions/3487991/why-does-oauth-v2-have-both-access-and-refresh-tokens |
 |
12
matrix1010 2018-12-11 19:09:26 +08:00 via Android
这个问题感觉看过很多遍了
|
 |
13
jorneyr 2018-12-11 22:56:05 +08:00
我还真干了用 accessToken 刷新 accessToken 的蠢事, 就是为了前端不再次登录.
|
Select Language