假设我们有一个OAuth2用户实现一个支持“读”和“写”的范围。处理OAuth2实现的访问令牌和范围的最佳实践?
我检索一个访问令牌“f482c829”与“读”的范围。如果我改变想法,现在想读+写权限,并以“读”和“写”再授权范围你:
现有的访问令牌和- 更新范围返回同样的道理“f482c829”?
- 如果使用同样的道理,要求在访问令牌,如果使用RESPONSE_TYPE =代码更新范围之前收回? (我认为是)
- 现有的访问令牌,并返回一个刷新令牌“zf382nL”更新范围?
- 创建一个全新的令牌离开“f482c829”,其范围是否完整?
如果您在每个作用域的每次创建一个新的令牌,您最终不得不在每个授权和不同的权限处存储多个访问令牌。我一直犹豫要这样实施。
的OAuth2用户规范(草稿-12),遗憾的是并没有解决任何这一点。