我正在尝试了解如何将Laravel Passport与电子邮件和密码一起使用。
我知道我不应该在客户端存储client_id和client_secret。我写了自己的登录名,并且按预期方式工作,作为回报,我获得了访问令牌,但我想不出一种方法来刷新此令牌without在客户端上存储client_id和client_secret。还是没有client_id和client_secret无法刷新访问令牌?
也已经读过How to use Laravel Passport with Password Grant Tokens?,但是对于我来说,如何以及是否可以刷新令牌尚无明确答案。
感谢您的帮助!
https://www.oauth.com/oauth2-servers/access-tokens/refreshing-access-tokens/
通常,刷新令牌仅与机密客户端一起使用。但是,由于可以使用授权码流程没有客户端机密,客户端也可以使用刷新授权没有秘密。如果向客户发布了秘密,则客户必须验证此请求。通常,该服务将允许其他请求参数client_id和client_secret,或在HTTP Basic中接受客户端ID和密码auth标头。如果客户端没有秘密,则没有客户端身份验证将出现在此请求中。
这意味着对于不应该存储凭据的客户端应用程序,刷新令牌可能不是正确的选择。