1. Dom
  2. Pytanie i odpowiedź
  3. Dlaczego odświeżanie tokenów wygasa po 14 dniach

Dlaczego odświeżanie tokenów wygasa po 14 dniach

2013-03-22 5 views
12

Każdy odświeżony token jest ważny przez 14 dni. Dlaczego odświeżane tokeny tracą ważność?Dlaczego odświeżanie tokenów wygasa po 14 dniach

Źródło

2013-03-22 suman

+2

Odświeżanie tokena wygasa, dopóki aplikacja nie zostanie odwołana przez użytkownika. http://stackoverflow.com/questions/8953983/do-google-refresh-token-expire –

Odpowiedz

12

14 dni było oparte na tym, co jest uważane za najlepszą praktykę we wdrażaniu OAuth2. Zobacz Why do access tokens expire?, aby uzyskać dość wyczerpującą odpowiedź na pytanie, dlaczego wygasają tokeny odświeżania OAuth2.

Jesteśmy zainteresowani usłyszeniem, która liczba większa niż 14 będzie działać dla twojego zgłoszenia. Wybraliśmy 14 dni w oparciu o wstępne opinie, ankiety od twórców aplikacji, a także przeglądanie logowań aplikacji przez użytkowników. Zdecydowana większość użytkowników loguje się w aplikacjach częściej niż co 14 dni.

Czy możesz wyjaśnić swój przypadek użycia? Jaka byłaby idealna nieskończona częstotliwość odświeżania, która zapewniałaby równowagę między poczuciem bezpieczeństwa a wygodą?

Źródło

2013-03-22 10:58:58 Peter

+0

Nie zgadzam się z tobą na ten ogólnie odświeżający token bardzo długo, nie ograniczoną liczbę dni, w których muszę zaangażować użytkownik raz za razem, co jest złym wdrożeniem zajrzyj do tego posta http://stackoverflow.com/questions/8953983/do-google-refresh-token-expire – suman

+1

Jeśli twoja aplikacja nie jest używana co 14 dni przez twoich użytkowników, czy nie powinni ponownie się uwierzytelniać? Większość aplikacji biznesowych jest używana przez ludzi przynajmniej raz w tygodniu, jeśli nie częściej. Poproszenie użytkownika o ponowne uwierzytelnienie po powrocie z długiego urlopu wydaje się całkowicie uzasadnione. Czy możesz wyjaśnić, dlaczego Twoi użytkownicy nie korzystają z Twojej aplikacji co najmniej raz na 14 dni w zwykłej praktyce? – Peter

+1

@PlatformBoxer Nie wszystkie aplikacje są skierowane do użytkownika lub mają pewien proces w tle, który użytkownik chce kontynuować po uwierzytelnieniu raz z nim. Zazwyczaj robi się to przez żądanie aplikacji "dostęp offline" (zobacz Facebook, Twitter, wszystko inne), a deweloper może zażądać stałych tokenów, jeśli zostanie przyznany. –

 Powiązane problemy

  • Brak powiązanych problemów^_^