나는 액세스 토큰이 데이터베이스를 손상시키지 않고 검증되기 때문에 수명이 짧다는 점을 알고 있으며, 새로 고침 토큰은 수명이 길고 데이터베이스에 대해 확인됩니다.새로 고침 토큰을 보내는 대신 권한 부여/코드를 다시 보내서 새 액세스 토큰을 얻지 못하는 이유는 무엇입니까?
내가 이해할 수없는 것은 처음에는 승인 부여를 보내고 나중에 새로 고침 토큰을 보내 액세스 토큰을받는 것과 다른 점입니다.
이 다이어그램을 RFC 6749에서 보면 클라이언트가 단순히 (G) 단계에서 권한 부여를 다시 보내지 않는 이유는 무엇입니까? 왜 새로 고침 토큰이 필요한가요?
+--------+ +---------------+
| |--(A)------- Authorization Grant --------->| |
| | | |
| |<-(B)----------- Access Token -------------| |
| | & Refresh Token | |
| | | |
| | +----------+ | |
| |--(C)---- Access Token ---->| | | |
| | | | | |
| |<-(D)- Protected Resource --| Resource | | Authorization |
| Client | | Server | | Server |
| |--(E)---- Access Token ---->| | | |
| | | | | |
| |<-(F)- Invalid Token Error -| | | |
| | +----------+ | |
| | | |
| |--(G)----------- Refresh Token ----------->| |
| | | |
| |<-(H)----------- Access Token -------------| |
+--------+ & Optional Refresh Token +---------------+
https://tools.ietf.org/html/rfc6749#section-4.1.2에 인증 코드를 두 번 이상 사용할 수 없다고 나와 있습니다. –
@FlorentMorselli 그래서 새로 고침 토큰이 만료 된 후 클라이언트가 새 권한 부여를 얻어야합니까? – Andy
예. 새로 고침 토큰이 더 이상 유효하지 않으면 (만료, 취소됨) 전체 흐름을 따라야합니다. –