คำถามติดแท็ก refresh-token

ส่วน 4.2 ของร่างโปรโตคอล OAuth 2.0 ระบุว่าเซิร์ฟเวอร์การอนุญาตสามารถส่งคืนทั้งสองได้ access_token (ซึ่งใช้ในการตรวจสอบสิทธิ์ของตัวเองด้วยทรัพยากร) เช่นเดียวกับ a refresh_tokenซึ่งใช้เพื่อสร้างใหม่อย่างแท้จริงaccess_token: https://tools.ietf.org/html/rfc6749#section-4.2 ทำไมถึงมีทั้งคู่? ทำไมไม่เพียงแค่ทำให้access_tokenครั้งสุดท้ายตราบเท่าที่refresh_tokenและไม่มีrefresh_token?

654 security  oauth  access-token  refresh-token 

ฉันมีโปรแกรมที่ทำงานร่วมกับ YouTube Live Streaming API มันทำงานบนตัวจับเวลาดังนั้นมันจึงค่อนข้างง่ายสำหรับฉันที่จะตั้งโปรแกรมเพื่อดึง Access Token ใหม่ทุกๆ 50 นาทีด้วย Refresh Token คำถามของฉันคือทำไม? เมื่อฉันตรวจสอบสิทธิ์กับ YouTube มันให้ Refresh Token แก่ฉัน จากนั้นฉันใช้โทเค็นการรีเฟรชนี้เพื่อรับโทเค็นการเข้าถึงใหม่ประมาณชั่วโมงละครั้ง หากฉันมี Refresh Token ฉันสามารถใช้สิ่งนี้เพื่อรับโทเค็นการเข้าถึงใหม่ได้ตลอดเวลาเนื่องจากไม่มีวันหมดอายุ ดังนั้นฉันจึงไม่เห็นว่าสิ่งนี้ปลอดภัยไปกว่าการให้ Access Token ตั้งแต่เริ่มต้นและไม่ต้องกังวลกับระบบ Refresh Token ทั้งหมด

96 authentication  oauth  youtube-api  access-token  refresh-token