OAuth2 的“流程”涉及让用户说“是的,这没问题”。返回的令牌是暂时的。
但我正在尝试创建一个无人值守的服务。刷新令牌总是有效吗?我感觉它也快要过期了。
这取决于谁在实施 OAuth2。在刷新令牌的“描述”中,过期时间并未作为规范的一部分进行讨论。该规范后来继续到 state 有点含糊不清,如果满足以下条件,则可以返回 invalid_grant
的值错误:
这似乎意味着刷新令牌可能会过期。
该文档还提到可以交换“具有长期访问令牌或刷新令牌的凭证”,从而将它们分组到相同的到期类别中。
最新版本的规范可以在以下位置找到:
https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2Google具体实现
Refresh tokens are valid until the user revokes access.
刷新令牌将始终有效,唯一的例外是当用户撤销该权限时。
对于 Google OAuth2,用户可以通过
web GUI或使用 OAuth 撤销端点撤销权限。