OAuth2 `expires_in`用途

Question

我正在通过OAuth整合一个外部api，对expires_in属性的用途有点迷惑。根据阅读，api令牌的使用应该是防御性的编码，因为您应该预料到令牌在任何时候都可能是无效的。如果是这样，那么存储过期时间有什么好处呢？

Answer 1

我同意你最初的观点。默认情况下，忽略expires_in字段并重新进行身份验证，如果得到401，则使用新令牌重试API调用。expires_in字段可用作required的优化，但它不能正确处理客户端和服务器之间的时钟差异或更新的令牌签名密钥。就我个人而言，我从不使用expires_in。

Answer 2

expires_in用于访问令牌。它告诉您必须在X分钟内刷新令牌。所以它是你的访问令牌的生命周期。

您还拥有一个刷新令牌。它的生命周期更长，因此您可以在其到期时请求一个新的访问令牌。

可以使访问令牌无效，但在大多数情况下，您只能使用生存期。