Dire che ho un token di aggiornamento che è impostato per scadere tra 14 giorni. E ho un token di accesso che scade tra 20 minuti.
Cosa succede se ogni volta che aggiorni il token di accesso (utilizzando il token di aggiornamento), il server ti restituisce un nuovo token di aggiornamento con una scadenza di 14 giorni dal momento in cui hai aggiornato il token di accesso?
Questa è una cattiva idea? Perché o perché no?
Dipende dal tipo di sistema che vuoi creare.
Richiedere un re-up del token di aggiornamento è fastidioso, poiché gli utenti devono inserire di nuovo la password (o qualunque sia il processo). Se si tratta di un processo automatizzato, come un'applicazione che viene eseguita in modo automatico su un server, questo diventa non solo un problema UX ma anche uno di stabilità, in quanto il sistema si interromperà se qualcuno non ricorda di accedere e ottenere manualmente un nuovo Aggiorna token.
Tuttavia, c'è un motivo per cui vedi questo tipo di installazione. Ad esempio, Google ti disconnette da tutte le app web ogni mese, il che impedisce a qualcuno che ha accesso al tuo account (laptop rubato, lasciato l'accesso a una libreria, ecc.) Di mantenere tale accesso a tempo indeterminato.
Leggi altre domande sui tag authentication oauth