Время жизни доступа и обновления токенов

Question

Приложение предназначено для использования компанией для управления внутрифирменной документацией. Эти документы могут содержать ценную информацию, поэтому это должно быть защищенное приложение. Я использую Oauth2 с токенами доступа и обновления. Токен доступа действителен в течение 15 минут, а токен обновления действителен в течение 1 дня. Я не нашел ни одного рекомендованного срока действия токенов.

• Хорошо ли 15 минут для AT и 1 день для RT? Если да, то почему эти значения достаточно хороши ИЛИ не достаточно хороши?
• Каков оптимальный срок службы AT и RT для приложения, которое должно быть действительно безопасным.

Большое спасибо!

Answer 1

Gmail против банковских счетов.

Я не могу сказать, куда подпадает ваш бизнес. Вы должны присутствовать на встрече с вашей командой разработчиков продукта и объяснить, что происходит, и позволить им решить. Это нормально, если нужно несколько попыток и ошибок, чтобы получить правильный номер.

Но для Gmail токен обновления почти никогда не истекает. Я не могу думать, когда в последний раз мне приходилось вводить свои учетные данные снова.

Для банков токен обновления действителен только в течение 10 минут, и если вы не получите новый токен обновления, он становится недействительным.

И, очевидно, время истечения обновления токена должно быть больше, чем среднее время сеанса пользователя.