OAuth 2.0 v30 ではexpires_in、トークンの有効期限が切れるまでのクライアント時間を指定するように定義されています。これは、クライアントからの要求で要求されたすべてのスコープに対して単一の期間がある場合にうまく機能します。複数のタイプのスコープがある場合: たとえば、オフライン - オンライン (または必要に応じて短期/長期) のように、OAuth プロバイダーはどの有効期限を返す必要がありますか?
1 に答える
-1
ユーザーは、クライアントに代わって特定のスコープ内のリソースにアクセスするためのアクセス許可をクライアントに与えます。このアクセス許可は、少なくともユーザーがプロバイダー側で手動でアクセス許可を取り消すまで、基本的にすべてのスコープに対して無制限の時間(プロバイダーによる処理方法に影響を与えないため)に付与されます。彼がスコープの一部のみを取り消す場合、現在発行されaccess_tokenているものは無効になり、クライアントはを使用して新しいスコープ(スコープが制限されている)を要求する必要がありますrefresh_token。
トークンの有効期限が切れる理由は、トークンが盗まれた場合、攻撃者がアクセスできるのは限られた時間だけだからです。したがって、expires_inプロバイダーとして設定する時間は、クライアントがスコープではなくトークンを秘密に保つことができる場合、クライアントをどれだけ信頼するかに依存する必要があります。
于 2012-07-23T19:00:34.157 に答える