现在有一个 access token ,过期时间是 1 小时,有效期还有半个小时,这个时候,调用 refresh token 刷新并获取了一个新的 access token ,那老的 token 还能够使用么?
我找了 goole.com ,什么 oauth.com, oauth0.com 专门讲安全的网站,貌似都没有讲到这个细节~
不知道 OAuth2.0 规范里面,有没有专门定义这个?还是说,这个由每个 oauth 厂商实现的时候,自己决定?
谢谢!
This topic created in 1367 days ago, the information mentioned may be changed or developed.
 |
1
rwecho Aug 17, 2022 via Android
发出去的 token 在有效期内,都是有效的
|
 |
2
estk Aug 17, 2022 via Android
refreshToken 好像也会刷新 refreshToken ,这个有效期也会重置?
|
 |
3
HashV2 Aug 19, 2022
jwt 在 refresh token 后如果老的 token 还在有效期内是不会失效的
除非落库 redis 做了额外判断,但是这样 jwt 的优势就没了 |
Select Language