私は、認可付与期間の寿命に関連するOAuth2仕様のものを探しています。アクセストークンが期限切れでリフレッシュ/更新する必要があるとの記載がありますが、私はそのグラントについて何も見ませんでした。私の印象は、認可付与を期限切れまたは取り消す必要がある場合、これは認証サーバーに追加する必要があり、実際にはOAuth2フレームワークの対象外であることです。OAuth2認可付与期間の管理
私は私の理解に間違いがないか、何か見落としていますか?これは有効なユースケースですか?
RFC 6749(OAuth 2.0の認証フレームワーク)mentions:
認証コードが短命と使い捨てでなければなりません。
RFC 6819(OAuth 2.0の脅威モデルとセキュリティに関する注意事項)provides more detailed description:
ブラウザベースのフローはURIクエリパラメータ(HTTPリファラ)、ブラウザのキャッシュ、またはログを経由して潜在的な攻撃者にプロトコルパラメータを公開ファイルエントリがあり、再生することができます。この脅威を軽減するために、短命の認可「コード」がトークンの代わりに渡され、クライアントと認可サーバー間のより安全な直接接続を介してトークンと交換されます。
ただし、RFCの許可トークンの有効期間に関する正確な情報はありません。私の経験から、それはほんの数分であるかもしれません。