Sto usando Google OAuth 2.0 nella mia domanda. Ho un token di aggiornamento che utilizzo per ottenere token di accesso ogni volta che il mio token di accesso scade. Non prendo un nuovo token di aggiornamento a meno che non ottenga un errore 400 durante il recupero del mio token di accesso che di solito significa che il mio token di aggiornamento non è più valido (l'utente ha revocato le autorizzazioni alla mia app).
Ora dopo aver revocato le autorizzazioni alla mia app, ci ho provatochiamare API che usa il token di accesso (che non è ancora scaduto) funziona correttamente. So che quando questo token scade non sarò in grado di recuperarne uno nuovo a meno che non prenda un nuovo token di aggiornamento.
Ma ho pensato di revocare le autorizzazioni, entrambi i token di aggiornamento e il token di accesso non sono più validi ?? Sì ?? Allora, come funziona ancora il mio token di accesso ??
risposte:
0 per risposta № 1Il token di accesso viene inviato al server delle risorse,che può solo verificare che il token di accesso sia valido e non scaduto. Quando si revocano le autorizzazioni all'app client, lo si fa nel server di autorizzazione e l'app client può continuare ad accedere al server di risorse finché il token di accesso non è scaduto e occorre aggiornarlo e quindi riceverà 401 - Risposta non autorizzata. Ecco perché è consigliabile definire un intervallo di tempo di scadenza del token di accesso breve.