Я пытаюсь выяснить, существует ли максимально рекомендуемый срок действия для маркера обновления в стандарте OAuth2. В идеале я хотел бы найти конкретные рекомендации, которые учитывают природу безопасного взаимодействия или любые связанные с этим риски (например, личные данные).
Справочная информация - Стандарт OAuth2 предоставляет механизм для получения новых токенов доступа с использованиемобновить токен. Ожидается, что токены доступа будут иметь «короткий» срок действия, а токены обновления - «длинный».
Есть много примеров в Интернете, в которых говорится о продолжительности доступа к токену для обновления и обновления для различных приложений ( пример ), но ни одно из них не дает особенно убедительного обоснования или четкого обоснования для конкретной длины. ,
Это приложение для здравоохранения, где безопасность данных имеет решающее значение. Мы хотели бы использовать большую длину маркера обновления (90 дней), но я не смог найти руководство, которое помогло бы мне понять риски использования такой продолжительности.
Я работаю с: https://tools.ietf.org/html/rfc6749