• bigben
    2020-08-26
    “尽管生成了新的刷新令牌,但它的有效期不会改变,有效期的时间戳仍然是上一个刷新令牌的。刷新令牌的有效期到了,就不能再继续用它来申请新的访问令牌了。” 我所见到的开放平台新的刷新令牌的有效期都是重新开始算的啊,并不是从第一个刷新令牌产生的时候算起的啊?

    作者回复: OAuth2.0规范中有刷新令牌和访问令牌,但是没有具体的做法,只有建议性指导。所以会有很多种方法去实现。 那么我们自己想一下,哪种更合理呢,如果刷新令牌一直有效下去,就需要有刷新令牌的使用次数限制,总要有一个卡点,不然,岂不是一直有效了呢。

    共 2 条评论
    5
  • Geek_bb8d16
    2020-08-02
    第三方登陆,比如微信登陆这个就很迷惑,这个是用OAuth2来实现登陆流程

    作者回复: 微信的联合登录,比如极客时间用微信登录,这是利用了OAuth2.0的流程。

    
    4
  • 秋千岁
    2020-08-17
    如果用户注销或者退出了登录,ID 令牌的生命周期就随之结束了。老师,请问这句话怎么理解?已经派发出去的ID令牌 如何使得用户注销或退出登录 失效呢?

    作者回复: ID令牌是一个JWT格式的令牌,这块可以参看咱们关于JWT介绍的那节课程。

    
    2
  • 一步
    2020-07-30
    ID 令牌要能够被解析 : 这句话要怎么理解的? ID 要怎么进行解析呢?

    作者回复: ID令牌 用作身份认证,什么是身份认证?就是“你是谁”,它包含了一个用户标识(注意不是用户名),所以要能够被解析。那访问令牌,不可以用作这个吗,不可以,咱们这篇答疑和之前的文章也都有提到,在用户“离开”后,第三方软件仍然可以使用访问令牌获取用户的信息,甚至访问令牌过期之后,还可以使用刷新令牌再换一个访问令牌。如果将访问令牌用作用户登录标识显然不合理。

    共 2 条评论
    1
  • .
    2020-08-29
    您好,oauth2.0用来授权不是认证,但是springsecurity oauth2里面的实现有一个check_token接口,传入access_token会返回userinfo信息,是不是可以用来认证了,不需要ID_token。。。
    
    5
  • Mr_Bangb
    2022-05-11
    用jwt生成令牌发现CPU高负荷运转了 请问有解吗?
    
    
  • garyhimself
    2021-11-08
    小兔打单软件获取到access_token,也不能直接调用打单api去打单吧,小兔打单软件至少得知道小明的用户信息,知道是要给小明打单吧,否则怎么调用打单api?
    
    
  • Blue
    2021-03-18
    刷新令牌,access_token在有效期之内和有效期之外,这两种情况下去刷新令牌,access_token会变化么【比较疑惑】,另外,如果access_token变化了,我们该如何告知调用方
    
    
  • 电光火石
    2020-11-18
    “尽管生成了新的刷新令牌,但它的有效期不会改变,有效期的时间戳仍然是上一个刷新令牌的。刷新令牌的有效期到了,就不能再继续用它来申请新的访问令牌了。” 既然可以用刷新令牌在有效期内重新申请访问令牌,这么做是否可以:只用访问令牌,不用刷新令牌,访问令牌的有效期和之前刷新令牌的有效期一样,这样是否可以呢?会有什么安全隐患吗?谢谢老师。
    
    
  • JianXu
    2020-10-17
    “第三,在使用上,刷新令牌只能用在授权服务上,而访问令牌只能用在受保护资源服务上。” — 如果我有需要在平台一侧把access token 发到授权服务上,会有什么风险吗?
    
    