我不清楚,如果端点是RFC6749中多次描述的相同(授权)服务器,为什么oauth2中存在刷新/访问令牌概念.
资源所有者在不共享凭据的情况下授权任何第三方组件的第一个授权步骤是oauth2 的基本思想.使用授权令牌生成访问和刷新令牌只是另一级别的授权间接imho,但没有增加安全性.
由于授权服务器是相同的,因此访问令牌与授权令牌和刷新令牌一样敏感,因此我称之为不必要的复杂性.
对我来说唯一有意义的解释是,如果有人窃取了访问令牌,则客户端可以请求新的访问令牌.但有人怎么加钢呢?如果它是中间的人,那么当客户请求新的时,他也有刷新令牌.
我的问题是:为什么授权服务器不仅仅返回一个可以被客户端和资源所有者撤销的访问令牌?刷新/访问令牌策略有什么好处?
谢谢你的解释.