Я пробую свои силы на апигее. Я настроил прокси с безопасностью oauth2.0.
Все отлично работает. Но я заметил, что новый токен доступа генерируется каждый раз, когда я достигаю конечной точки oauth2/accesstoken, хотя предыдущий не истек.
Поэтому, как следствие, моя конечная точка доступна более чем с одним токеном одновременно. Я не эксперт oauth2, но разве это не угроза безопасности? Если у нас так много аксессуаров, плавающих вокруг. Пожалуйста, уточните.
Это обычная реализация каждого сервера oauth2 или она специфична для apigee, и если да, то почему?
Я предполагаю, что для определенного клиентского ключа / секрета в любой момент времени может быть только один действительный токен доступа, и по истечении этого срока клиент должен запросить новый токен, используя токен обновления. Это неправильно?