小编dsc*_*chn的帖子

假设我们有一个支持"读取"和"写入"范围的OAuth2实现.

我检索带有"读取"范围的访问令牌"f482c829".如果我改变主意,现在想要读取+写入权限并再次使用"读取"和"写入"范围进行授权,您是否:

• 更新现有访问令牌的范围并返回相同的令牌"f482c829"？
• 如果使用相同的令牌,如果在更新范围之前使用response_type = code,则要求回收访问令牌？(我想是的)
• 更新现有访问令牌的范围并返回刷新的令牌"zf382nL"？
• 创建一个全新的令牌,留下"f482c829"并且其范围完好无损？

如果每个范围每次都创建一个新令牌,则最终必须为每个授权存储多个访问令牌,并在各处存储不同的权限.我一直犹豫要不要那样实施.

不幸的是,OAuth2规范(截至草案12)并没有解决任何问题.