在Oauth2.0中刷新令牌

Question

我正在发出OAuth 2.0请求，并且返回带有refresh_token and access_token JSON，为什么OAuth2.0中有2个？

• 哪一个是短暂的？
• 两者的目的是什么？

我在SO上阅读了这个问题 ，但是对我没有多大帮助，在这方面的任何帮助将不胜感激，谢谢

Answer 1

access token是用于验证服务请求的身份。 它通常包含有关用户的详细信息，或直接映射到有关用户的权限及其所授予的权限。
这些令牌的寿命很短-大约一小时，每个提供商的实际持续时间有所不同。

另一方面，当您的令牌过期时， refresh tokens将用于获取新的访问令牌。 它们的寿命更长（有时是无限的，直到被明确撤销）。

现在，让我们考虑一个端到端场景 。 假设您创建了一个代表用户执行Facebook操作的应用-在用户的时间轴上发布信息等。

• 您的应用重定向用户以登录Facebook-为此您使用Facebook SDK。
• 当用户成功登录并为您提供所需的权限（在时间轴上发布）后，您将获得访问令牌和刷新令牌。
• 您的应用程序现在可以访问Facebook API，以用户名义使用访问令牌发布在时间轴上。 该令牌可以使用一小时（或访问令牌有效的任何时间）
• 令牌即将过期后，您可以点击Facebook API刷新访问令牌，因为该令牌即将过期。 因此，您可以使用refresh + access tokens调用API。
• API将向您返回一个新的访问令牌-您可以立即使用它直到过期。

PS-事实并非如此。 这只是一个随机的例子，用于说明刷新和访问令牌的不同之处。

如果这有意义，请返回您已链接的问题。 它有一些非常好的答案。 :)