我有一个与YouTube直播流API集成的程序。它运行在定时器上,所以对于我来说,使用刷新令牌每隔50分钟编程一次就可以获取新的访问令牌。我的问题是,为什么?“刷新令牌”的用途是什么?
当我通过YouTube验证后,它给了我一个刷新令牌。然后,我使用此刷新令牌每小时获得一次新的访问令牌。如果我有刷新令牌,我总是可以使用它来获取新的访问令牌,因为它永不过期。所以我不明白这比从一开始就给我一个访问令牌并且不打扰整个刷新令牌系统更安全。
基本上,刷新令牌用于获取新的访问令牌。
明确区分这两种令牌和避免被混淆了,这是他们的功能The OAuth 2.0 Authorization Framework给出:
- 访问令牌由授权服务器发放给第三方客户端与审批的资源所有者。客户端使用访问令牌访问资源服务器托管的受保护资源。
- 刷新令牌是用于获取访问令牌的凭证。刷新令牌由授权服务器发布给客户端,用于在当前访问令牌变得无效或到期时获得新的访问令牌,或者获得具有相同或更窄范围的额外访问令牌。现在
,回答你,为什么你仍然被发出刷新问题令牌,而不是只保护一个访问令牌,由互联网工程任务组在Refresh tokens提供的主要原因是:
存在安全原因,
refresh_token只与授权服务器交换,而access_token与资源服务器交换。这可以减少长时间访问令牌在“一个小时内访问令牌有效,一年刷新令牌或好到无效”的情况下出现长时间访问令牌的风险“vs”没有刷新的有效访问令牌令牌“。
是OAuth 2.0流的更详细和完整的信息,请尝试将通过以下参考资料: