OAuth 2.0协议草案的第4.2节指出,授权服务器可以返回一个access_token
(用于认证资源),以及一个refresh_token
,后者仅用于创建新的access_token
:
https://www.rfc-editor.org/rfc/rfc6749#section-4.2
为什么需要两个令牌?为什么不让access_token
的有效期与refresh_token
相同,而不提供refresh_token
呢?
OAuth 2.0协议草案的第4.2节指出,授权服务器可以返回一个access_token
(用于认证资源),以及一个refresh_token
,后者仅用于创建新的access_token
:
https://www.rfc-editor.org/rfc/rfc6749#section-4.2
为什么需要两个令牌?为什么不让access_token
的有效期与refresh_token
相同,而不提供refresh_token
呢?