爲this SO reply描述的OAuth2正常的流程如下:的OAuth - 使用刷新標記的「社會符號的」
訪問令牌- 發送API請求
- 如果訪問令牌無效,嘗試使用刷新令牌 如果刷新請求通過
- ,更新訪問令牌和更新它如果刷新請求失敗重新發送初始API請求
- ,要求用戶重新認證
這對大多數API調用都很好,但我不知道一件事:身份驗證。
當用戶嘗試使用他們最喜歡的服務登錄我的新Web應用程序時,我應該使用他們的刷新令牌(或OAuth1中的緩存訪問令牌)嘗試登錄,還是應該始終從服務提供商(Google,Facebook等)獲取新的令牌並放棄存儲的訪問和刷新令牌?