我正在实现一个支持刷新令牌的OAuth2服务器,但是,有一些东西我还不能完全理解。
当用户通过OAuth2服务器请求一个新的访问令牌时,我无法完全理解。refresh_token grant_type 而且他要求的作用域(5个作用域中的3个)小于原始访问令牌的作用域。刷新令牌应该拥有原来的作用域,还是应该拥有新请求的作用域?
如果刷新令牌有新的作用域请求,这是否意味着如果他们一直请求较小的作用域,最终会用完?
刷新令牌是否应该保留原来的作用域?这意味着返回的访问令牌将与刷新令牌中存储的范围不同,下一次请求获取新的访问令牌时,可能会产生比当前访问令牌更多的范围。
谁能告诉我这个问题?
我看了RFC文档,其中有一点是这样说的
如果发出新的刷新令牌,刷新令牌的范围必须与客户端在请求中包含的刷新令牌相同。
对于刷新令牌的授予。
一些授权服务器支持刷新令牌的轮换,也可以。
至少理论上是这样的,不过你需要针对你的特定授权服务器进行测试。微软、AWS等厂商的支持差别很大。