为什么不用 accessToken 直接刷新 accessToken，而要用 refAccessToken 刷新 accessToken

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2704 days ago, the information mentioned may be changed or developed.

oauth2.0 中。为什么不用 accessToken 直接刷新 accessToken，而要用 refAccessToken 刷新 accessToken ？

accesstoken

刷新

OAuth

refaccesstoken

16 replies • 2018-12-12 13:36:42 +08:00

CDuXZMAPgHp1q9ew

Dec 11, 2018

怕 accessToken 泄露, 所以 accessToken 会过期, 如果用 accessToken 刷 accessToken, 那不是白搞了

maichael

Dec 11, 2018

accessToken 可以刷新 accessToken 的话，accessToken 不就永远不会过期么。

niuker

Dec 11, 2018

@maichael
如果是用 accessToken 刷 accessToken，刷回来的 accessToken 会变化，原来的 accessToken 还是会过期

loveCoding

Dec 11, 2018

顺着想法反推一下,那还刷新干嘛呢? accessToken 作为刷新凭证就是换汤不换药啊

maichael

Dec 11, 2018

@niuker #3

假设你家的锁是智能门锁，现在给了一个临时密码给我进去了，过了时间这个临时密码就过期了不能用了。

如果临时密码能够刷新临时密码了，那我的临时密码是不是就相当于不会过期了。

pljhonglu

Dec 11, 2018

accessToken 在传输的过程中可能泄漏

momocraft

Dec 11, 2018

定义两种 token 后：

oauth provider 一方：可以把权限管理和（用于资源的）权限验证分开
client 一方：在有选择时可以把 accesstoken 放较不安全设备上而不导致无限期的权限泄漏

mydns

Dec 11, 2018

拿旧密码去换新密码

jswh

Dec 11, 2018

accessToken 要交给客户端，refAccessToken 一般放在服务端

zsdroid

Dec 11, 2018

@niuker #3 我拿到 accessToken 的时候就已经去刷新到新的了，原来的 accessToken 过期没有我都不关心

also24

Dec 11, 2018

本来自己敲的，看了下 SF，觉得直接看回答就足够了：

https://stackoverflow.com/questions/3487991/why-does-oauth-v2-have-both-access-and-refresh-tokens

matrix1010

Dec 11, 2018 via Android

这个问题感觉看过很多遍了

jorneyr

Dec 11, 2018

我还真干了用 accessToken 刷新 accessToken 的蠢事, 就是为了前端不再次登录.

xuanbg

Dec 12, 2018

@jorneyr 何必多此一举，直接不过期就好了

jorneyr

Dec 12, 2018

@xuanbg 也不知道咋就脑子抽了没反应过来

xgp

Dec 12, 2018

@maichael 你这解释，我觉得不好。刷新密码必须在有效期内才能刷新，你拿临时密码可以在屋子里换新的临时密码，相当于你一直待屋子里，刷就刷呗有什么关系？一旦你离开了屋子，又过了有效期，密码就会失效，这完全是不同的情况