OAuth授权代码何时到期？

Question

我知道(在OAuth中使用授权代码“授权代码”)，访问令牌的生存期应该很短，但是刷新令牌的生存期可能很长。所以我决定做我的项目：

• 访问-令牌-生存期:1天
• 刷新-令牌-寿命: 30天

但是，授权代码的典型生存期是什么？我说得对吗，应该是真的，真的很短？大概一小时，甚至几分钟？

我找不到任何“最佳做法”。

Answer 1

所有这些都是标准的，但可配置的I大多数标识/ auth服务器。

授权码

当用户同意应用程序访问他们的数据时，他们会被返回一个授权代码。这段代码通常只使用五分钟。任何低于这一点可能会导致你的问题与时钟倾斜，并没有真正的理由，海事组织的时间更长。

存取令牌

访问令牌在交换授权代码后返回。访问令牌。访问令牌通常只使用60分钟。

刷新令牌

刷新令牌是长期存在的令牌。下面是googles标准。

• 刷新令牌可以使用六个月，但这一次正在滑动。
• 如果应用程序已经六个月没有使用刷新令牌，则访问将被撤销。
• 用户也可以随时撤销访问。
• 取决于所请求的范围。一些刷新令牌在用户更改密码后过期。

同样，上述只是谷歌的标准。在我工作的身份服务器上。我认为当前的设置是一个月不使用刷新令牌到期。

Answer 2

刚刚在另一个网站上找到了答案：

授权代码必须在发出后不久过期。OAuth 2.0规范建议最长寿命为10分钟()，但在实践中，大多数服务设置的过期时间要短得多，在30-60秒之间。

来源：https://www.oauth.com/oauth2-servers/authorization/the-authorization-response/

Answer 3

这取决于提供者。对于某些提供者来说，它只工作一次。一旦您将授权代码交换为访问和刷新令牌，它将过期，您无法第二次使用它。