OAuth2 Refre sh количество токенов

Question

Я использую сервер OAuth2, который поддерживает токен refre sh, однако есть кое-что, что я не могу полностью понять.

Когда пользователь запрашивает новый токен доступа через refresh_token grant_type, и он / она запросил меньшую область действия (3 из 5 областей), чем та, что имеет исходный токен доступа. Должен ли токен refre sh иметь исходные области действия или для токена refre sh запрошены новые области?

• Если для токена refre sh запрошены новые области, Означает ли это, что в конечном итоге у них закончатся области действия, если они будут продолжать запрашивать меньшие области?

• Должен ли токен refre sh сохранять исходные области? Это будет означать, что возвращаемый токен доступа будет иметь разные области действия относительно того, что хранится в токене refre sh, и следующий запрос на получение нового токена доступа может привести к большему количеству областей, чем текущий токен доступа.

Кто-нибудь, пожалуйста, просветите меня по этому вопросу?

Я прочитал документы RF C, и в нем говорится:

Если Выдается новый токен refre sh, область действия токена refre sh ДОЛЖНА быть идентична области действия токена refre sh, включенного клиентом в запрос.

Answer 1

Для предоставления токена refre sh:

• Базовое поведение заключается в получении только нового токена доступа в ответе
• Затем используется исходный токен refre sh многократно использовался повторно.

Некоторые серверы авторизации поддерживают ротацию токенов refre sh, а также могут:

• Выпустить новый «скользящий» refre sh token
• Это привязано к исходным областям действия и времени сеанса

По крайней мере, это теория, хотя вам нужно протестировать свой конкретный сервер авторизации. Поддержка поставщиков со стороны Microsoft, AWS и других значительно различается.