Qual é o propósito de uma "lembrança"?
1 answers
Basicamente, os tokens de actualização são usados para obter um novo item de acesso.
Para diferenciar claramente estes dois tokens e evitar confundir-se, aqui estão as suas funções dadas em O Quadro de autorização do OAuth 2.0:
Agora, para responder à sua pergunta sobre o porquê de ainda estar a receber uma ficha de actualização, em vez de apenas garantir uma ficha de acesso, a principal razão fornecida pela A Task Force de Engenharia da Internet em fichas de actualização é:
- Os tokens de Acesso são emitidos a clientes de terceiros por um servidor de autorização com a aprovação do proprietário do recurso. O cliente usa o token de Acesso para acessar os recursos protegidos hospedados pelo servidor de recursos.
- Os Tokens de actualização são credenciais usadas para obter tokens de acesso. Os tokens de atualização são emitidos para o cliente pelo servidor de autorização e são usados para obter um novo token de acesso quando o token de acesso atual se torna inválido ou expira, ou para obter tokens de acesso adicionais com escopo idêntico ou mais estreito.
Existe uma razão de segurança, o {[[0]} só é trocado com o servidor de autorização, enquanto o
access_token
é trocado com os servidores de recursos. Isto reduz o risco de um access_token de longa duração vazar no "token de acesso bom por uma hora, com um token de atualização bom por um ano ou bom-till-revogado" vs "um token de acesso bom-till-revogado sem um token de atualização."
Para uma informação mais detalhada e informações completas sobre o fluxo de OAuth 2.0, Por favor tente passar pelas seguintes referências:
- fluxo do OAuth 2.0: aplicações web do lado do servidor
- O Quadro de autorização do OAuth 2.0 emitido pela Task Force de Engenharia da Internet (IETF)
- Então, pós - porque é que o OAuth v2 tem tanto acesso como fichas de actualização?