在 RFC 6749 的这一部分之后,授权服务器不得为隐式授权流发出刷新 token 。
https://www.rfc-editor.org/rfc/rfc6749#page-35
我计划在单页应用程序中使用带有刷新 token 的隐式授权流程,避免每次访问 token 过期时为用户请求新的授权过程。
有人可以在 RFC 中阐明此约束的原因吗?
谢谢:)
最佳答案
Eduardo,在隐式授权流程中,客户端请求通过“用户代理”(即来自用户的浏览器)访问资源。所以客户端想要获取一些东西,但需要用户输入权限。如果 auth 服务器提供了一个刷新 token ,那么客户端可以在未来跳过询问用户许可并永远授予自己访问权限(基本上在没有用户许可的情况下随时重新提供其 token )。所以他们在流程中禁止它,因为“不受信任的”客户端只能通过让用户输入他们的凭据来访问(因此只有在资源所有者允许时)。
关于rest - 为什么在隐式授权流程中,授权服务器绝不能发出刷新 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34231717/