那些遇到过的问题

OAuth 授权码何时到期?

nds*_*svw 7 authorization oauth access-token oauth-2.0 refresh-token

我知道(在 OAuth 中使用授权代码“授权代码”时),访问令牌的生命周期应该很短,但刷新令牌的生命周期可以很长。所以我为我的项目决定:

  • 访问令牌生命周期:1 天
  • 刷新令牌生命周期:30 天

但授权码的典型生命周期是多长?我认为它应该非常非常短,对吗?也许像 1 小时甚至只有几分钟?

我找不到任何“最佳实践”。

DaI*_*mTo 8

所有这些都是标准的,但在大多数身份/身份验证服务器中都是可配置的。

授权码

当用户同意应用程序访问其数据时,他们会返回一个授权代码。该代码通常只能使用五分钟。任何低于这个值的值都可能会导致时钟偏差问题,而且在我看来,没有理由让它更长。

访问令牌

交换授权代码后将返回访问令牌。访问令牌。访问令牌的有效期通常只有 60 分钟。

刷新令牌

刷新令牌是长期存在的令牌。以下是谷歌标准。

  • 刷新令牌的有效期为六个月,但这次时间正在减少。
  • 如果应用程序六个月未使用刷新令牌,则访问权限将被撤销。
  • 用户也可以随时撤销访问权限。
  • 取决于要求的范围。某些刷新令牌会在用户更改密码后过期

同样,以上只是谷歌标准。在我工作时使用的身份服务器上。我认为当前的设置是一个月不使用刷新令牌就会过期。

归档时间:

查看次数:

7843 次

最近记录:

3 年,2 月 前
相关归档
使用oauth和twitter ruby​​ gems时,请继续获取OAuth :: Unauthorized错误 40
使用回调网址创建Facebook应用 19
有没有人使用DNOA实现2 Legged OAuth? 10
获取服务器身份验证访问令牌以供客户端与Google Analytics一起使用的正确方法 10
LinkedIn验证上的Oauth token_rejected - 间歇性 6
与Google的WPF应用程序身份验证 6
Team Foundation Server - 应用程序层到数据层:身份验证,模拟和授权 5
使用 oauth2 进行编程身份验证 5
如何实现基于 Azure Signalr 无服务器令牌的身份验证和授权 5
C#/OWIN/ASP.NET:我可以*手动*在我的 API 代码中生成和获取有效的不记名令牌字符串吗? 4
难疑归档
如何检查jQuery中是否隐藏了一个元素? 7481
REST中的PUT与POST 5227
如何在Java中将String转换为int? 2882
按字符串属性值对对象数组进行排序 2535
迭代对象属性 1904
如何计算C#中某人的年龄? 1754
删除包含特定字符串的文本文件中的行 1670
计算C#中的相对时间 1461
没有指定分支的"git push"的默认行为 1339
如何列出使用ATTACH打开的SQLite数据库文件中的表? 1151