V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
phpcxy
V2EX  ›  问与答

OAuth2.0 多次发起授权,是返回同一个还是不同的 access token?

  •  
  •   phpcxy · 2016-12-02 16:27:50 +08:00 · 4336 次点击
    这是一个创建于 2915 天前的主题,其中的信息可能已经有所发展或是发生改变。
    现在实现了一个 OAuth2.0 的服务,用户通过账号密码来取得 access token 。

    现在是每登录一次都生成一个新的 access token ,我担心会不会有恶意调用这个接口生成大量 access token (尽管我的接口已经加了调用频率控制)。而且因为调用接口都是我自己的应用, access token 有效期我都设为永久了,这样就导致 access token 不会失效自动清除。

    大家都是怎么做的呢?
    7 条回复    2016-12-02 18:25:46 +08:00
    shyling
        1
    shyling  
       2016-12-02 16:37:44 +08:00
    luili
        2
    luili  
       2016-12-02 16:45:25 +08:00
    首先,我不是开发,我是产品汪,我不建议 access token 有效期设为永久,我比较推荐微信的做法:

    https://ooo.0o0.ooo/2016/12/02/5841349ba442f.png
    alex321
        3
    alex321  
       2016-12-02 16:47:26 +08:00
    这个不都是通用有效期的么。。各种方便啊。
    phpcxy
        4
    phpcxy  
    OP
       2016-12-02 17:09:29 +08:00
    其实我的问题是:多个客户端是用一个 access token 还是不同的 access token
    1.如果分发不同的 access token ,数据库里面可能会保存了大量的 access token ;
    2.如果使用同一个 access token ,是所有客户端共用一个。如果这个 access token 失效就全部客户端都要重新授权。
    asen477
        5
    asen477  
       2016-12-02 17:13:16 +08:00
    如果是多端应用,建议还是多个 token 。
    vghdjgh
        6
    vghdjgh  
       2016-12-02 17:23:46 +08:00
    github 的 access token 是永久有效的,不过用户在设置里可以 revoke 掉。
    ikaros
        7
    ikaros  
       2016-12-02 18:25:46 +08:00
    用同一个吧,用同一个可以兼容其他情况,但是用不同的,像微信这种就会冲突,因为前一个会失效

    https://mp.weixin.qq.com/wiki/14/9f9c82c1af308e3b14ba9b973f99a8ba.html

    ```
    如果第三方不使用中控服务器,而是选择各个业务逻辑点各自去刷新 access_token ,那么就可能会产生冲突,导致服务不稳定。
    ```
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2777 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 15:13 · PVG 23:13 · LAX 07:13 · JFK 10:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.