security tutorial ¿Puede un usuario tener dos tokens válidos a la vez en oauth 2.0 para el tipo de concesión de auth code?




oauth2 vs jwt español (2)

* Tengo una pregunta simple relacionada con el token oauth, por lo que mi requisito es que el usuario pueda tener varios ámbitos para decir A y B y ha generado el token, pero luego necesita el alcance A y B y su token anterior es válido, por lo que Ese caso

  1. ¿Deberíamos actualizar el alcance del token existente?
  2. ¿Deberíamos generar un nuevo token para un nuevo alcance?
  3. ¿O debería generar token múltiple para un solo usuario?

Si desea actualizar el alcance del token existente y si su servidor de autorizaciones le proporciona un mecanismo, simplemente hágalo. De hecho, una cierta implementación del servidor de autorización proporciona API web para actualizar los alcances de los tokens de acceso existentes ( /auth/token/update API de /auth/token/update , /auth/client/authorization/update API de /auth/client/authorization/update ).

Que los tokens de acceso sean modificables o no depende de la implementación de cada servidor de autorización. Por ejemplo, si el tipo de implementación de token de acceso es "autónomo" (por ejemplo, como JWT ), los tokens de acceso no son modificables. Por otro lado, si el tipo es "cadena aleatoria" (en este caso, los datos reales se almacenan en la base de datos detrás del servidor de autorización), los tokens de acceso pueden ser modificables. Consulte "7.1 Representación del token de acceso" en " Implementador de cero rayas de OAuth y Conversaciones de conexión de OpenID sobre los hallazgos " para más detalles.

Algunas implementaciones de servidor de autorización emiten tokens de acceso múltiple para una combinación de un usuario y una aplicación cliente, y otras implementaciones emiten solo un token de acceso para la combinación. Una determinada implementación de servidor de autorización proporciona un indicador de configuración que le permite seleccionar cualquiera de los comportamientos siguientes. Ver también esta respuesta .

El enfoque que debe tomar depende de su caso de uso. Busque una implementación de servidor de autorización que se adapte mejor a su caso de uso.


El token de acceso OAuth2 no es modificable, por lo que debe obtener un nuevo token de acceso con un conjunto diferente de ámbitos. Los tokens de acceso se generan para una aplicación, no para un usuario, pero sí, puede haber tokens de acceso múltiples autorizados por un solo usuario: el usuario autoriza a la aplicación a realizar algunas operaciones (ámbitos) en su nombre.





google-oauth