2018-05-22想请教老师一个问题:通常我们借助于官方文档或者技术博客,来引入某功能,希望老师能够分享一下自己的经验,如何正规地引入自己想要的功能(通常技术博客比较杂乱,还有版本问题;而官方文档又比较简要,无针对性)作者回复: 如果没有领域经验,或者没有专家指导,则一般没有特别的捷径,老老实实调研,刚开始要收集各种渠道资料进行学习,做demo,根据你的经验,一般要花费些时间的,然后是小规模生产试点,根据用户反馈不断优化调整。随着你对问题域理解的不断深入,你对要引入什么功能会越来越有把握。
2
2020-02-05老师您好,有一个问题需要请教一下,token端点拿到了accessToken, 还有expireTime, expireTime过期后,accessToken也过期了,这个时候去调用refreshToken端点拿到新的accessToken,那我的理解是第一次需要授权信息相关,比如在登录接口做,后续访问受保护的接口时带上accessToken, 如果过期,前端调用refreshToken拿到新的accessToken, 那这不就意味着前端登录一次,拿到token以后,就可以无限刷新token,会有安全性问题吗? 我们有地方可以去设置refreshToken的有效期,或者是可以设置一个总授权有效期,期间可以刷新token, 过期后需要重新走一下整体授权流程?作者回复: 根据需要,refreshToken也可以设置过期时间(这个过期时间肯定要比accessToken的过期时间长),如果refreshToken超过过期时间,可以重走登录授权流程。
2019-07-24老师,我基于密码模式使用了refresh_token,在OAuth2AuthorizationServer类中增加了 .accessTokenValiditySeconds((int)TimeUnit.SECONDS.toSeconds(30))
.refreshTokenValiditySeconds((int)TimeUnit.SECONDS.toSeconds(100));第一次获取access_token时refresh_token是一起返回的,
{
"access_token": "435a1b63-e6d2-452d-84fb-339b12ce424f",
"token_type": "bearer",
"refresh_token": "177605ef-90cd-4fa6-b514-13c600b2bbca",
"expires_in": 29,
"scope": "read_userinfo read_contacts"
};但是我使用refresh_token刷新令牌一直不成功,
{
"timestamp": 1563957426377,
"status": 401,
"error": "Unauthorized",
"message": "Full authentication is required to access this resource",
"path": "/oauth/token"
}
希望老师能帮我解答。展开作者回复: 这个错误是提示:使用refresh_token刷新令牌,需要clientId/secret认证,你看看相关信息是否正确填写,看看HTTP请求头Authorization: Basic是否有?
2018-11-03老师,有没有相关的资料可以参考一下?作者回复: 课程的最后(一般是最后一节)有相关参考资源介绍