私はYoutube開発者のウェブサイトのドキュメントを読みましたが、それは有効性については何も話していません。
OAuth 2.0標準は有効期間を定義していますか、それともユーザーが手動で取り消すまで認証トークンは有効ですか?OAuth仕様
で
は、トークンは付与された直後に期限切れになると定義されていますが、アクセストークンと更新トークンを取得した後に期限切れになりますか?また、このアクセストークンを今後のすべてのAPIリクエストに使用できますか、それとも定期的に新しいトークンを取得する必要がありますか?
4425 次
2 に答える
1
認証コードについて話していると思いますが、ここでは用語を少し混ぜています。
認証コードは、漏洩のリスクを軽減するために、発行後すぐに失効する必要があります。認証コードの最大有効期間を 10 分にすることをお勧めします。クライアントは、認証コードを複数回使用してはなりません。認可コードが複数回使用されている場合、認可サーバーはリクエストを拒否しなければならず(MUST)、その認可コードに基づいて以前に発行されたすべてのトークンを(可能な場合)取り消す必要があります(SHOULD)。
アクセストークンの取得に一度使用すると、再度使用することはできません。また、認証コードを定期的に取得する必要もありません。これは、ユーザーのアクセス トークンを持っていないが、ユーザーのデータを要求したい場合にのみ行います。
アクセス トークンの有効期限が切れます。expires_in送信された値を確認するか、API にリクエストを実行してアクセス トークンの期限切れエラーが返されることで、いつ発生するかがわかります。次に、更新トークンを使用して、ユーザーが関与することなく新しいアクセス トークンを取得できます。
于 2012-09-12T09:31:00.240 に答える