答案对一些人来说可能是显而易见的,但我一直没能在OAuth 2.0规范中找到明确的说明。假设客户端被授予了访问令牌及其到期时间和刷新令牌。如果客户在现有的访问令牌仍然有效的情况下,出于某种原因发出刷新令牌的请求,会发生什么?服务器应该用旧的访问令牌(减少了到期时间)来响应,还是直接生成新的令牌?
由于服务器要处理一段时间的访问令牌,对其有效性进行检查,可能比发行一个新的令牌更耗费资源。我认为它应该在你提出请求的情况下发行一个新的令牌。
我想到的另一个用例是,客户端可能会请求一个新的令牌,因为原来的访问令牌被破坏了。