Разумно ли отозвать токен обновления через некоторое время?

Я прочитал здесь Интересно, должен ли сервер когда-либо просто отозвать токен обновления через определенный период времени и просто заставить пользователя снова войти в систему? Я не могу вспомнить, когда мне в последний раз приходилось вводить свои учетные данные для входа в Gmail.

Что делают банки (или любые сайты, на которых хранятся конфиденциальные данные), если определенный пользователь обновляет свой токен в течение 200 дней? Должны ли они позволить пользователю продолжать использовать сайт? Я понимаю, что это связано с взаимодействием с пользователем, поэтому это не то, что легко автоматизировать.


oauth-2.0 refresh-token onlinebanking
person Honey    schedule 30.10.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Время жизни токена обновления (или включение) определяется администратором, который контролирует активы, а не конечным пользователем.

Использование краткосрочных токенов предпочтительнее - это технически просто и не требует обслуживания.

person Gary Archer    schedule 30.10.2019
comment
данный токен обновления имеет определенное время истечения срока действия. Если вы обновите токен обновления, все начнется сначала. Верно? Как вы это решаете? Или это не требует решения? - person Honey; 30.10.2019
comment
Да. Но РТС можно продлевать. Верно? Если вы продолжите продлевать его до истечения срока его действия, он продолжит работать. Верно? - person Honey; 31.10.2019
comment
@Honey - Насколько я понимаю, токен обновления нельзя обновить. Токен доступа можно обновить с помощью токена обновления, но если срок действия токена обновления истечет, пользователю придется снова выполнить процедуру входа в систему. Однако токены обновления могут быть действительны в течение очень долгого времени или вообще никогда не истечет. - person martinstoeckli; 31.10.2019