保留OAuth访问令牌的指导

Question

我目前正在使用DevDefined OAuth。就我所能访问的内容而言，访问令牌永远不会从开箱即用的内存存储中删除，因此只有当它们超时并被删除或应用程序重新启动时才会清理它们。我很好奇其他人是如何与此合作的？我似乎有很多应用程序只是允许身份验证生效，直到用户说要删除它（假设通过注销），人们是否设置了一些其中的时间？或者也许是更新？似乎无限期地保留它们可能对社交应用程序有意义或者我正在建立业务线，而这看起来不正确。

任何想法或经验的人肯定会很有帮助吗？ 谢谢

Answer 1

一般来说，你应该坚持访问令牌，直到它被服务撤销（用户撤销它或者它过期）。在这种情况下，您可以使用您的请求令牌获取另一个访问令牌。有些服务还有一个API可用来检查访问令牌的有效性。

OAuth并没有真正为您提供解决问题的条款 - 例如，如果您的应用程序已获得用户的授权，您始终可以从请求令牌获取访问令牌。

如果您关注的是业务线应用程序，那么可能是您可以在应用程序层处理的东西。例如，我使用的许多应用程序都要求我登录，但是一旦登录，它就会连接到各种OAuth服务（即重新使用访问令牌），而不会要求我提供进一步的许可。