使用访问令牌获取访问令牌？

Question

据我了解，迄今为止，关于访问令牌是在代码流中，客户端可以使用授权代码或刷新令牌获得访问令牌。

但是..它可以在代币过期之前使用访问令牌获得新的访问令牌吗？

我阅读 rfc6749 时间），我找不到

“访问令牌必须仅由明确资源所有者的赠款或刷新令牌发行”

所以我一直在想。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

“访问令牌

这怎么了？

我几乎是菜鸟，只用互联网就学到了它，所以我可能会完全误解一些d：

请启发我..谢谢！

Answer 1

您不能使用访问令牌获取新的访问令牌。访问令牌是自包含的携带者令牌，可允许您访问某些数据。 （用范围表示）出于安全原因访问令牌的寿命有限。一旦过期，您将无法使用它。

考虑是否有恶意意图的人掌握了您的访问令牌。然后，他们可以使用它来访问数据，但只能在有限的时间内。访问令牌过期后，他们将无法访问该数据。

刷新访问

验证过程的第一步为您提供了授权代码，这是一个一次性代码，大概五分钟的时间很短，只能使用一次。如果您要求脱机访问权限，则将其交换时，您将获得访问令牌和刷新令牌。

刷新令牌可用于获得新的访问令牌。您可以使用它在以后的日期获取访问权限，而无需再次请求用户访问。为了获得新的访问令牌，尽管您需要拥有用于创建访问令牌的客户端和客户端的秘密，在某些情况下，您需要可以访问重定向URI所居住的服务器。这样，如果一个恶意的人可以访问其刷新令牌，除非他们拥有您的，客户ID，客户端分泌和服务器访问权限，否则无法使用它来获得新的访问令牌。

您可能会发现这个有趣的用curl 了解oauth2

Answer 2

TLDR

可以撤销访问权限。刷新令牌用于此。

这是我的理解。访问令牌不会由发出的验证服务器保留。它们的尺寸很大，在一般情况下可能有很多，每个范围或一组范围。刷新令牌是简短的不透明字符串，由Auth Server保留。如果发现用户的系统受到损害，则可以将它们无效以撤销身份验证。例如，如果攻击者获得了访问/刷新令牌，并从其他IP中使用了它们。在这种情况下，Auth Server将针对保留的刷新令牌设置标志，并且不会在不重新认证的情况下刷新访问令牌。