google中的访问令牌到期

Question

案例场景:假设用户使用google登录到第三方网站。默认情况下，google令牌的过期时间约为3600秒。

如果，登录到第三方网站后

1. 用户删除/禁用gmail帐户。
2. 用户删除对gmail中第三方应用程序的同意。

。

在上述情况下，访问令牌是否过期？

在上述情况下，刷新令牌是否过期？

下面的链接是否给出了上述场景中有关访问令牌的实际信息。

https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=

Answer 1

假设用户使用google登录第三方网站。

Oauth2不是用于登录(授权)，而是用于授权。因此，用户不会登录到第三方网站使用oauth2，他们会登录到第三方网站使用他们的谷歌帐户，并打开id连接。

默认情况下，

访问令牌的过期时间约为3600秒。

Oauth2的行业标准规定，访问令牌将在一小时或3600秒后过期。

在上述情况下，

访问令牌是否过期？

没有访问令牌是自包含的承载令牌。在这种情况下，它们将工作到过期一小时。在它们上没有额外的验证，假定所述令牌的承载者可以访问该数据一个小时。是的，即使他们删除了访问权限。

在上述情况下，

刷新令牌是否过期？

如果用户通过他们的google帐户撤销您的访问权限。所有未完成的刷新令牌将立即被移除，它们将不再工作。

提供了下面的链接，给出了上述场景中任何一个访问令牌的实际信息。

UserInfo端点(是一个标准端点)可用于检索授权应用程序的用户的身份信息。

返回的信息可能因服务器而异，但通常是这样的。用户名，配置文件名，可以包含电子邮件地址和生日。

只要访问令牌未过期，端点将返回信息。