OAuth2アクティブなセッション中にアクセストークンが有効なままである

Question

非常に短いアクセストークンの有効期間（15分など）が必要なセキュリティ保護されたアプリケーションがあります。ユーザーがアクティブでAPI呼び出しを行っている間は、アクセストークンを有効にしておきます。しかし、いったん15分無活動になると期限切れになるはずです。基本的に、有効期限は固定しないでください。最後の呼び出しから15分です。

このモデルにはどのようなパターンが適していますか？これはOAuth2で可能ですか？

Answer 1

OAuth 2.0では、アクセストークンの検証方法を指定していません。これは、リソース・サーバー（つまり、API）と許可サーバーの間で合意されているため、実装の中で自由に説明したシナリオに合わせることができます。

リソース・サーバーは、非アクティブ・タイムアウトを追跡する必要があります。または、許可サーバーがそれを行うことができます。リソース・サーバーは、使用率とアクティビティーを追跡するために、それぞれの使用量を許可サーバーに呼び出す必要があります。