在學習oauth2.0協議的時候，對于刷新令牌refresh token感覺很困惑。主要是為啥需要刷新令牌，以及刷新令牌是如何工作的，技術細節是啥？比如通過refresh token可以讓access token永久不過期嗎？

下面就針對這兩個問題進行詳細分析。

為什么需要刷新令牌

刷新令牌的生命周期

1. 授權服務頒發刷新令牌

2. 第三方服務使用刷新令牌

定時檢測方式和現場發現方式

3. 授權服務校驗刷新令牌

1. 接收刷新令牌請求，驗證基本信息

2. 重新生成訪問令牌

為什么需要刷新令牌

如果access token超時時間很長，比如14天，由于第三方軟件獲取受保護資源都要帶著access token，這樣access token的攻擊面就比較大。

如果access token超時時間很短，比如1個小時，那其超時之后就需要用戶再次授權，這樣的頻繁授權導致用戶體驗不好。

引入refresh token，就解決了【access token設置時間比較常，容易泄露造成安全問題，設置時間比較短，又需要頻繁讓用戶授權】的矛盾。

刷新令牌的生命周期

1. 授權服務頒發刷新令牌

第三方軟件得到一個訪問令牌的同時，也會得到一個刷新令牌，refresh_token是與第三方軟件、用戶關聯在一起的

2. 第三方服務使用刷新令牌

什么時候來使用刷新令牌呢？

定時檢測方式

在第三方軟件收到訪問令牌的同時，也會收到訪問令牌的過期時間expires_in。一個設計良好的第三方應用，應該將expires_in值保存下來并定時檢測；如果發現expires_in即將過期，則需要利用refresh_token去重新請求授權服務，以便獲取新的、有效的訪問令牌。

現場發現方式

比如第三方軟件訪問受保護資源的時候，突然收到一個訪問令牌失效的響應，此時第三方軟件立即使用refresh_token來請求一個訪問令牌，以便繼續代表用戶使用他的數據。

綜合來看的話，定時檢測的方式，需要額外開發一個定時任務；而“現場”發現，就沒有這種額外的工作量。具體采用哪一種方式，你可以結合自己的實際情況。不過呢，建議采用定時檢測這種方式，因為它可以帶來“提前量”，以便有更好的主動性，而現場發現就有點被動了。

3. 授權服務校驗刷新令牌

第三方軟件發送請求

授權服務器會先比較grant_type和 refresh_token的值，確認是請求刷新令牌的操作

1. 接收刷新令牌請求，驗證基本信息

1）和頒發訪問令牌前的驗證流程一樣，這里我們也需要驗證第三方軟件是否存在。

在使用刷新令牌的時候，也是需要應用傳遞它的app_id和app_sercet的

2）驗證刷新令牌是否存在，要保證傳過來的刷新令牌的合法性。

3）還需要驗證刷新令牌是否屬于該第三方軟件。授權服務是將頒發的刷新令牌與第三方軟件、當時的授權用戶綁定在一起的，因此這里需要判斷該刷新令牌的歸屬合法性。

2. 重新生成訪問令牌

訪問令牌access_token，其與第三方軟件、用戶，還有授權范圍scope綁定在一起。

在生成access_token的時候，要考慮下面的場景。

1）若access_token未超時，那么進行refresh_token有下面幾種方式：

不會改變access_token，但超時時間會刷新，相當于續期access_token

更新access_token的值，我們建議【統一更新access_token的值】

在spring security oauth中，其處理方式是仍返回原access_token及refresh_token，但是并不會續期，expires_in保持原樣，所以我們看到下面的響應

2）若access_token超時了，但是refresh_token未超時，那么更新access_token的值，但是刷新令牌refresh_token呢？推薦刷新令牌是一次性的，使用之后就會失效。

注意：通過refresh_token刷新后，返回來assessToken和refresh_token，但refresh_token過期時間不會重新刷新。

3）若refresh_token也超時了，就需要將刷新令牌和訪問令牌都放棄，相當于回到了系統的初始狀態，只能讓用戶小重新授權了。

謝謝關注張軍博客

本文為張軍原創文章,轉載無需和我聯系,但請注明來自張軍的軍軍小站,個人博客http://www.sfpk123.com

更多文章、技術交流、商務合作、聯系博主

微信掃碼或搜索：z360901061

微信掃一掃加我為好友

QQ號聯系： 360901061

您的支持是博主寫作最大的動力，如果您喜歡我的文章，感覺我的文章對您有幫助，請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧，狠狠點擊下面給點支持吧，站長非常感激您！手機微信長按不能支付解決辦法：請將微信支付二維碼保存到相冊，切換到微信，然后點擊微信右上角掃一掃功能，選擇支付二維碼完成支付。

【本文對您有幫助就好】元

2元

5元

10元

20元

自定義

喜歡作者