OAuth 2.0 - 刷新令牌


刷新令牌是可用于获取新访问令牌的凭据。

  • 与访问令牌的生命周期相比,刷新令牌的生命周期要长得多。

  • 刷新令牌也可能会过期,但寿命很长。

  • 当当前访问令牌过期或失效时,授权服务器向客户端提供刷新令牌以获取新的访问令牌。

下图展示了刷新过期Access Token的过程。

刷新过期的访问令牌

步骤 1 - 首先,客户端通过授予授权来向授权服务器进行身份验证。

步骤 2 - 接下来,授权服务器对客户端进行身份验证,验证授权授予并向客户端颁发访问令牌和刷新令牌(如果有效)。

步骤 3 - 然后,客户端通过提供访问令牌向资源服务器请求受保护的资源。

步骤 4 - 资源服务器验证访问令牌并提供受保护的资源。

步骤 5 - 客户端通过授予访问令牌向资源服务器发出受保护的资源请求,资源服务器验证它并为该请求提供服务(如果有效)。不断重复此步骤,直到访问令牌过期。

步骤 6 - 如果访问令牌过期,客户端将向授权服务器进行身份验证,并通过提供刷新令牌来请求新的访问令牌。如果访问令牌无效,则资源服务器向客户端返回无效令牌错误响应。

步骤 7 - 客户端通过授予刷新令牌来向授权服务器进行身份验证。

步骤 8 - 然后,授权服务器通过对客户端进行身份验证来验证刷新令牌,并颁发新的访问令牌(如果有效)。

oauth2.0_obtaining_an_access_token.htm