access token 会自动失效么,当调用 refresh token 获取一个新的 access token 后?

2022-08-17 17:07:26 +08:00
 yazoox

现在有一个 access token ,过期时间是 1 小时,有效期还有半个小时,这个时候,调用 refresh token 刷新并获取了一个新的 access token ,那老的 token 还能够使用么?

我找了 goole.com ,什么 oauth.com, oauth0.com 专门讲安全的网站,貌似都没有讲到这个细节~

不知道 OAuth2.0 规范里面,有没有专门定义这个?还是说,这个由每个 oauth 厂商实现的时候,自己决定?

谢谢!

951 次点击
所在节点    信息安全
3 条回复
rwecho
2022-08-17 17:16:11 +08:00
发出去的 token 在有效期内,都是有效的
estk
2022-08-17 19:26:37 +08:00
refreshToken 好像也会刷新 refreshToken ,这个有效期也会重置?
HashV2
2022-08-19 15:54:09 +08:00
jwt 在 refresh token 后如果老的 token 还在有效期内是不会失效的

除非落库 redis 做了额外判断,但是这样 jwt 的优势就没了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/873518

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX