1. 首页
  2. 问答
  3. OAuth 2.0授权代码中“代码”的生命周期授权代码授权代码Grant

OAuth 2.0授权代码中“代码”的生命周期授权代码授权代码Grant

2016-07-26 103 views
2

我知道该代码是用于真正长寿命访问令牌的短期标记交换。我已经通过了Oauth 2.0,但找不到这个信息,所以在这里问:OAuth 2.0授权代码中“代码”的生命周期授权代码授权代码Grant

  • 什么是代码的生命周期?
  • 仅供一次性使用吗?
  • 代码交换多少次才能获取访问令牌?
  • 在为该代码提供访问令牌后,代码会发生什么情况?

我正在使用oAuth 2.0 plugin on Kong API gateway。它将代码保持在特定的时间并且在那个时候可以使用相同的代码生成多个访问令牌。 这是预期的行为?

感谢您的任何建议。

来源

2016-07-26 Suraj

回答

1

授权代码必须是短暂的,应该是一次性使用,以避免假使用。所以回答你的问题

代码的生命周期是什么?

  • 在使用authorication_code流量对用户进行认证,对于范围的一次认证和授权访问,一个短暂的(比如1分钟)有效的代码将被创建并发送回重定向URI。

它只是一次性使用吗?

  • 是的,它必须是最好的安全性,在使用authorication_code,那么无论是请求成功或失败(由于一些验证错误或服务器错误),授权码必须请求访问令牌一次性使用删除或标记为已使用(取决于您想如何使用它)

代码可以交换多少次才能获取访问令牌?

  • 一个authorization_code只能授予一个访问令牌,因为一旦发出访问令牌,代码就会被撤销。

在给出代码的访问令牌后,代码会发生什么?

最佳实践,代码可以被删除

退房谷歌的OAuth2.0单证更好地理解和了解其使用。

https://developers.google.com/identity/protocols/OAuth2WebServer

对于香港问题,似乎它在香港的一个错误,他们答应给固定在0.9版本。 检查这个discussion

来源

2016-07-26 12:25:37

+1

感谢您的回复。我也是这么想,但正如我所提到的,我在Kong API网关上使用OAuth 2.0插件来保护我的API,这就是它的行为。它在特定时间为相同的代码生成多个访问令牌(aprox 10分钟)。我应该限制它吗? 此信息记录在某处或基于您的经验? – Suraj

+0

是啊,我读了,我用力Kong API,所以我一般的回应,是的,你必须限制它每个授权码一个访问令牌,至少我会建议这样 –

1

代码是短暂的一次性访问令牌。 一旦它被交换为访问令牌,它应该被标记为无效。
对于发行它更好地问它here

来源

2016-07-26 11:21:25

相关问题

 相关问题