0
我有一个授权服务器为我提供了一个更新的访问令牌令牌了。的oauth2:为得到保护的资源刷新令牌?
我可以得到像典型的OAuth2流程的访问令牌保护资源的讲解和我可以通过刷新令牌获取新的访问令牌。在这一点上,一切都好。
不过,我可以得到一个受保护的资源与刷新令牌呢!在Oauth2中是否正常?有刷新令牌两种行为?
感谢
我有一个授权服务器为我提供了一个更新的访问令牌令牌了。的oauth2:为得到保护的资源刷新令牌?
我可以得到像典型的OAuth2流程的访问令牌保护资源的讲解和我可以通过刷新令牌获取新的访问令牌。在这一点上,一切都好。
不过,我可以得到一个受保护的资源与刷新令牌呢!在Oauth2中是否正常?有刷新令牌两种行为?
感谢
这是不正常的,违背了摆在首位两个记号,因为他们都在同一个地方结束点。访问令牌是在客户端和受保护资源之间使用的东西。刷新令牌仅用于客户端和授权服务器之间。在这两方之外不应该知道,所以不应该在资源服务器上结束。
但实际上这里的客户端实现是错误的,因为即使刷新令牌可以让您访问受保护资源,客户端也不应该这样做。