OAUTH access_token TTL

Question

我有一个OAUTH2认证服务器，它为每个新的acccess_token设置一个默认的TTL（3600s）。

但在我看来，每个资源服务器的access_token TTL应该不同。 就像一个JavaScript Web界面一样，它应该是3600s，对于Android应用程序来说可能是一个月。

谁决定access_token TTL应该多长时间？ 客户端的GET access_token请求是否应请求自定义TTL？ 是否应在认证服务器上的服务配置（以及client_id，client_secret，应用程序描述，...）中定义每个资源的TTL？

Answer 1

颁发令牌的授权服务器负责为其分配到期时间。没有标准化的授权请求参数，客户可以用它来指示首选的TTL。授权服务器基于可以基于客户端标识符和相关/配置的“许可”或“信任”的策略来决定授权请求中可用的参数（例如scope）和其他上下文数据，如HTTP请求参数，时间当天等。