我正在使用 API 网关专有工具,对于注册的应用程序,我们可以允许它们使用 OAuth2 客户端凭据授予来访问 REST 资源。
当然,我们可以假设客户端是机密,并且我们强制使用机密传输(https),但客户端仍然需要始终使用凭据(client_id + client_secret)来获取新的访问令牌。
为什么访问令牌响应不应包含刷新令牌?
不应包含刷新令牌。
如下所示,客户端获得访问令牌后该阶段的实际工作流程非常相似。
按部分划分:
刷新令牌是用于获取访问令牌的凭证。 参考
客户端通过向授权服务器进行身份验证并提供刷新令牌来请求新的访问令牌。客户端身份验证要求基于客户端类型和授权服务器策略。 参考
当授权范围仅限于客户端控制下的受保护资源时,客户端凭据(或其他形式的客户端身份验证)可用作授权授予参考 具有刷新令牌的授权授予多个资源所有者
请注意,资源所有者密码凭证授予也可以使用刷新令牌机制。这样可以避免强制资源所有者重新进行身份验证。