asp.net-web-api2 – 何时将刷新令牌传递给API
我试图访问授权服务器,当用户提供用户名和密码时,该服务器会发出短期访问令牌和更长时间的刷新令牌.
>客户端是否应该在每次调用API时都传递刷新令牌以及访问令牌,或者客户端是否只在从API接收到访问令牌已过期的错误代码时才传递刷新令牌? 解决方法
问题1:
在访问令牌过期之前,客户端不需要刷新令牌. 要获取新的访问令牌,请将grant_type设置为refresh_token的请求发送,如section 6 of the RFC所示. 我见过的大多数实现都会为每个访问令牌发布一个新的刷新令牌.您可以使用任何有效的刷新令牌来获取新的访问令牌. 问题2:
不幸的是,RFC没有明确定义错误响应;请参阅RFC的7.2节:
因此,确切的响应取决于服务器.它应该由有问题的服务器定义. 如果服务器提供新的刷新令牌,您将需要在当前的刷新令牌到期之前获得新的刷新令牌. 您不想再次发送用户的凭据;你不应该拥有它们,更不用说保留它们了. OAuth 2旨在允许第三方访问用户的受保护资源,而无需查看用户的凭据. 您通常会在password_grant或refresh_token调用中获得带有新访问令牌的新刷新令牌. RFC虽然不保证这一点.如果服务器未提供新的刷新令牌,或者无法依赖新的刷新令牌,则必须要求用户再次登录.请注意,此登录是通过授权服务器完成的,授权服务器不一定是您的应用程序.事实上,它可能不是. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net – 使用System.Web.Providers的OptimisticConcurre
- 如何编译x64 asp.net网站?
- asp.net – ASP .Net WorldPay集成
- asp.net-mvc – 在ASP.NET MVC应用程序中放置数据操作和业务
- asp.net-mvc – HTML.Hidden For value set
- asp.net-mvc – 在ASP.NET MVC中在HTTP和HTTPS之间移动
- asp.net-mvc-4 – 多个单选按钮组在MVC 4剃刀
- asp.net-mvc – 使用ASP.Net MVC中的模型绑定器更新父/子记
- asp.net – ResolveUrl / Url.Content在Classic Asp中等效
- go语言-字符串的方法
- asp.net-mvc – 如何获取Azure网站上的错误详细信
- asp.net – 如何转换上传的视频并从此文件中获取
- asp.net – 如何处理错误时使用jQuery.ajax()?
- asp.net-mvc – 在Umbraco 6.1.1 MVC 4中,如何使
- 全面理解 ASP.NET Core 依赖注入
- asp.net-mvc – 当ModelState为InValid时调用的A
- asp.net – Crystal Report Viewer控件未加载报表
- 三步快速解决dll冲突问题
- ASP.NET 使用System.Drawing 绘制随机验证码
- asp.net-mvc-3 – ASP.NET MVC3的AntiForgeryTok