1
我正在嘗試查找與授權授權的使用期限有關的OAuth2規範中的任何內容。有提及訪問令牌過期,需要刷新/更新,但我沒有看到任何關於授予。我的印象是,如果需要過期或撤銷授權許可,這將是必須添加到Auth服務器,並且不在OAuth2框架的範圍內。管理OAuth2授權授權使用期限
我的理解正確嗎?還是我忽略了一些東西?這甚至是有效的用例嗎?
A
回答
0
RFC 6749(該OAuth 2.0用戶授權框架)mentions在於:
授權碼必須是短暫的,單次使用。
RFC 6819(的OAuth 2.0威脅模型和安全注意事項)provides more detailed description:
基於瀏覽器的流暴露經由URI查詢參數協議參數,潛在的攻擊者(HTTP引用),瀏覽器高速緩存,或日誌文件條目,並可以重播。爲了減少這種威脅,通過短期授權「代碼」而不是令牌,並通過客戶端和授權服務器之間更安全的直接連接來交換代幣。
但是,在RFC中沒有關於授權令牌使用壽命的確切信息。根據我的經驗,這可能是一分鐘或幾分鐘。
相關問題
- 1. OAuth2授權
- 2. OAuth2 refresh_token授權
- 3. 使用聲明的自定義授權授權管理器
- 4. 授權與權限
- 5. 無法在django社交授權中使用yahoo-oauth2授權
- 6. 如何授予Sharepoint中有限的「管理權限」權限?
- 7. 授予Oracle授予權限
- 8. Spree管理員授權
- 9. CanCan的管理員授權
- 10. python gspread授權oauth2憑證
- 11. 的OAuth2無聲授權
- 12. 如何處理Spring授權碼OAuth2
- 13. Android Volley請求使用OAuth2授權
- 14. 如何授予無管理員用戶權限來管理IIS?
- 15. 授予dbms_crypto權限
- 16. mysql授予權限
- 17. 授予LIST權限
- 18. 授權授權無效
- 19. 授權代碼授權
- 20. 如何授予在Oracle中授予權限的權限
- 21. Oracle - 授予用戶權限
- 22. 用PyQt4/5隱式OAuth2授權
- 23. 如何授權開發人員授予用戶權限?
- 24. 在OAuth2授權授權流程中,如何模擬用戶從瀏覽器中單擊「授權」?
- 25. ERR_TOO_MANY_REDIRECTS使用授權
- 26. 授予WebDeploy授權
- 27. 聲明式授權 - 抓住「授權::未授權」例外
- 28. OAuth2:JWT授權授權和客戶端憑證授權與JWT客戶端認證有什麼區別?
- 29. ASP.NET MVC3中基於權限的授權
- 30. 基於權限的授權.net身份