OAuth 2.0协议草案的第4.2节指出，授权服务器可以返回一个access_token（用于认证资源），以及一个refresh_token，后者仅用于创建新的access_token： https://www.rfc-editor.org/rfc/rfc6749#section-4.2 为...

我有一个与YouTube直播API集成的程序。它运行定时器，因此相对容易编程，在50分钟内获取新的Access Token和Refresh Token。我的问题是，为什么这样做？ 当我通过YouTube进行身份验证时，它提供了一个Refresh Token。然后，我使用该Refresh To...

我必须承认，这个问题我一直持有很长时间，但从未真正理解。 假设授权令牌就像一个保险柜的钥匙，当它过期后就无法再使用。现在我们得到了一个神奇的刷新令牌，可以用它来获取另一个可用的钥匙，然后继续下去...直到神奇令牌过期。那么为什么不将授权令牌的过期时间与刷新令牌设置为相同呢？根本没有必要吗？ ...

Keycloak的刷新令牌生存期为1800秒： "refresh_expires_in": 1800 如何指定不同的过期时间？在Keycloak管理界面中，只能指定访问令牌的生存期：

我正在阅读Auth0网站关于刷新令牌和单页应用程序(SPA)的文档，他们指出SPA不应该使用刷新令牌，因为它们不能在浏览器中安全地存储，而是应该使用静默身份验证来检索新的访问令牌。 引用部分： 通常实现隐式授权的单页应用程序不得在任何情况下获取刷新令牌。原因是这一信息的敏感性。您可以将其视为...

我正在使用reactjs、mbox和axios，并遇到了一个问题。我有一个API可以提供访问令牌和刷新令牌。访问令牌每20分钟就会失效，当发生这种情况时，服务器会发送401，我的代码将自动发出刷新令牌以获取新的访问令牌。 一旦获得新的访问令牌，同样被拒绝的请求将再次发送。现在我的代码很棒，直...

我已经阅读了一段时间关于这个的内容，但是什么都不清楚，解释也相互矛盾，评论也证明了这一点。 到目前为止，我所理解的是JWT存储由服务器编码的信息，可以设定过期时间，如果有效，服务器可以使用其私钥对其中的信息进行解码。很有道理。 JWT对可扩展性很有用，因此，只要拥有密钥，独立的API就可以解码...

我在我的应用程序中使用JWT进行用户身份验证。当用户登录成功后，他们将获得访问令牌和刷新令牌。为了保护刷新令牌的安全性，我不会将其存储在客户端，而是与他们的帐户一起保存在后端，这样就不容易访问。但是，我对刷新令牌的安全性感到困惑。以下是我在阅读在线资源时理解如何使用刷新令牌的逻辑： 验证身...

我已将AddOpenIdConnect添加到我的ASP.NET Core 3.1 Razor应用程序的ConfigureServices方法中。 它很好用，但是当令牌过期时，我会从我的IDP收到401响应。 我看到一个示例展示了一种手动连接刷新令牌的方式。 但我不确定是否这样做。 微软的人...

请查看下面的代码，解决了这个问题。 我正在尝试找到处理在ASP.NET Core 2.1中过期的刷新令牌的最佳和最有效方法。 让我再解释一下。 我正在使用OAUTH2和OIDC来请求授权码授予流程（或具有OIDC的混合流程）。这种流程/授权类型为我提供了访问AccessToken和Ref...