为什么客户端不能简单地为每个授权请求同时发送访问 token 和刷新 token ?如果访问 token 已过期,则不需要两次额外的行程来检索新的访问 token 并最终发出相关请求。
我意识到此操作是摊销的,但它会减少对非常短的访问 token 的请求数量。在 SSL 下,我不明白添加刷新 token 如何使其变得更容易受到攻击。或者是吗?
最佳答案
我认为主要原因是刷新 token 和访问 token 发送到不同的地方。访问 token 被发送到资源服务器,刷新 token 被发送到授权服务器。一般情况下,资源服务器无法使用刷新 token 执行任何操作。
关于oauth - 为什么不同时发送访问和刷新 token (OAuth2)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38965815/