從0構(gòu)建Oauth2Server服務(wù)之Refreshing-access-tokens

更新時間：2023年08月15日 10:41:45 作者：demo007x

這篇文章主要為大家介紹了從0構(gòu)建Oauth2Server服務(wù)之Refreshing-access-tokens刷新令牌示例詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步，早日升職加薪

刷新令牌 Refreshing-access-tokens

如何讓您的開發(fā)人員使用刷新令牌來獲取新的訪問令牌。如果您的服務(wù)隨訪問令牌一起發(fā)出刷新令牌，則您需要實現(xiàn)此處描述的刷新授權(quán)類型。

請求參數(shù)

訪問令牌請求將包含以下參數(shù)。

grant_type（必需的）

該grant_type參數(shù)必須設(shè)置為“refresh_token”。

refresh_token（必需的）

先前頒發(fā)給客戶端的刷新令牌。

scope（選修的）

請求的范圍不得包括未在原始訪問令牌中發(fā)布的其他范圍。通常這不會包含在請求中，如果省略，服務(wù)應(yīng)該發(fā)出一個與之前發(fā)出的范圍相同的訪問令牌。

客戶端身份驗證（如果客戶端被授予機密則需要）

通常，刷新令牌僅用于機密客戶端。但是，由于可以在沒有客戶端密碼的情況下使用授權(quán)代碼流，因此沒有密碼的客戶端也可以使用刷新授權(quán)。如果向客戶端發(fā)出了一個秘密，則客戶端必須對該請求進行身份驗證。通常，該服務(wù)將允許附加請求參數(shù)client_id和client_secret，或者接受 HTTP 基本身份驗證標頭中的客戶端 ID 和密碼。如果客戶端沒有密碼，則此請求中不會出現(xiàn)客戶端身份驗證。

驗證刷新令牌授予

在檢查了所有必需的參數(shù)并驗證了客戶端（如果向客戶端發(fā)出了秘密）之后，授權(quán)服務(wù)器可以繼續(xù)驗證請求的其他部分。

然后服務(wù)器檢查刷新令牌是否有效，并且沒有過期。如果刷新令牌已頒發(fā)給機密客戶端，則服務(wù)必須確保請求中的刷新令牌已頒發(fā)給經(jīng)過身份驗證的客戶端。

如果一切正常，該服務(wù)可以生成訪問令牌并做出響應(yīng)。服務(wù)器可能會在響應(yīng)中發(fā)出新的刷新令牌，但如果響應(yīng)不包含新的刷新令牌，則客戶端會假定現(xiàn)有的刷新令牌仍然有效。

例子

以下是服務(wù)將接收的刷新授權(quán)示例。

POST /oauth/token HTTP/1.1
Host: authorization-server.com
grant_type=refresh_token
&refresh_token=xxxxxxxxxxx
&client_id=xxxxxxxxxx
&client_secret=xxxxxxxxxx