V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yazoox
V2EX  ›  信息安全

access token 会自动失效么,当调用 refresh token 获取一个新的 access token 后?

  •  
  •   yazoox · 46 天前 · 353 次点击
    这是一个创建于 46 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在有一个 access token ,过期时间是 1 小时,有效期还有半个小时,这个时候,调用 refresh token 刷新并获取了一个新的 access token ,那老的 token 还能够使用么?

    我找了 goole.com ,什么 oauth.com, oauth0.com 专门讲安全的网站,貌似都没有讲到这个细节~

    不知道 OAuth2.0 规范里面,有没有专门定义这个?还是说,这个由每个 oauth 厂商实现的时候,自己决定?

    谢谢!

    rwecho
        1
    rwecho  
       46 天前 via Android
    发出去的 token 在有效期内,都是有效的
    estk
        2
    estk  
       45 天前 via Android
    refreshToken 好像也会刷新 refreshToken ,这个有效期也会重置?
    HashV2
        3
    HashV2  
       44 天前
    jwt 在 refresh token 后如果老的 token 还在有效期内是不会失效的

    除非落库 redis 做了额外判断,但是这样 jwt 的优势就没了
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1929 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 10:15 · PVG 18:15 · LAX 03:15 · JFK 06:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.