Sto lavorando per implementare un server OAuth 2.0 e durante la lettura della specifica RFC6749 mi sono reso conto che sezione 6 su Pagina 47 riguardante "Aggiornamento di un token di accesso". Spiega che dobbiamo semplicemente usare il Token di aggiornamento per ottenere un nuovo token.
Ad esempio, oltre al token di aggiornamento, Google richiede l'ID utente e il segreto per farlo.
Questo mi confonde, perché da un lato abbiamo Google che elabora un volume elevato di richieste ogni giorno, e abbiamo una specifica scritta probabilmente con un obiettivo più piccolo in mente.
È bello inviare il Segreto ogni ora con il Token di aggiornamento?
Personalmente non credo: perché l'ID utente e il segreto dovrebbero essere utilizzati solo per esaminare l'intero processo di OAuth 2.0.
Sostanzialmente
- Usi il token su ogni richiesta per dimostrare che sei quello che sei.
- Il token di aggiornamento viene utilizzato solo una volta all'ora (e potenzialmente modificato ad ogni aggiornamento)
- L'ID segreto e dell'utente si collegano a Internet il più raramente possibile. Solo quando le opzioni 1 e 2 vengono compromesse.
Personalmente ritengo che l'invio del segreto con il token di aggiornamento sia meno sicuro. Ma forse mi manca qualcosa.
Se hai un altro punto di vista, per favore condividi:)