在OAuth 2.0 规范的第 4.1.2 节中,有以下语句集:
授权代码必须在发布后不久到期,以降低泄漏风险。推荐的最长授权代码生命周期为 10 分钟。客户端不得多次使用授权码。如果一个授权码被多次使用,授权服务器必须拒绝该请求并且应该撤销(如果可能)所有先前基于该授权码发出的令牌。
我的问题是为什么授权码只能使用一次?这似乎迫使授权服务器的实现者使用 ACID 数据库,这引入了可扩展性问题。放宽这一限制将允许完全取消存储。
我可以看到,允许重用验证码意味着如果恶意代理可以获取未过期的代码,他们就可以获得对受保护资源的访问权限。但是 OAuth 2.0 对一些事务强制要求使用 TLS 并为所有事务推荐它,这降低了代码被盗的风险,并且假设有一个代理可以监听通道,这个要求引入了拒绝服务的可能性(代理可以简单地提交他们发现的任何身份验证代码。)根据具体情况,DoS 的威胁可能大于或小于泄露机密。
我刚刚了解了DB2数据类型VARGRAPHIC,我想知道为什么它有这个名字?似乎没有任何形式的图形.