Oauth 2：access_token 是用户的唯一密钥吗？

Question

用户与 Facebook 连接后，Facebook 会返回一个 access_token。

我可以假设此 access_token 将始终保持不变并且对于每个用户都是唯一的吗？

如果是这样，那么我可以使用它在我的数据库中查找用户，如果找不到，则创建一个新用户。

如果没有，有没有办法让 Facebook 在连接后立即向您发送回 user_id（带有 access_token），这样我就不必再次发出请求/me?fields=id 是吗？

Answer 1

您应该使用他们的 id 作为唯一标识符。 access_token 是唯一的，但您每次请求时都会获得一个新的。

Answer 2

OAuth access_token 可以在 2 个以上令牌颁发者期间重复。
它仅在令牌发行者（本例中为 facebook.com）中是唯一的。
由于 facebook token 足够长，所以很少会出现 token 重复的情况。