Код авторизации должен быть недолгим и должен использоваться один раз во избежание поддельного использования. Поэтому, чтобы ответить на ваши вопросы
Каков жизненный цикл кода?
- когда идентифицировать пользователя с помощью authorication_code потока после того, как проверка подлинности и предоставлен доступ к привязывает, недолго (скажем, 1 минута) правильный код будет создан и отправлен обратно в перенаправлением URI.
Это только для разового использования?
- да она должна быть одноразового использования для лучшей безопасности, когда маркер доступа запрашивается с помощью authorication_code, то либо запрос завершается успешно или не удалось (из-за какой-то ошибки проверки или ошибки сервера), код авторизации должен быть удалены или отмечены как используемые (в зависимости от того, как вы хотели его использовать)
Сколько раз можно обменять код, чтобы получить токен доступа?
- Один authorization_code может предоставить только один маркер доступа, так как код будет аннулирован, как только маркер доступа выдается.
Что происходит с кодом после токена доступа для данного кода?
Лучшая практика, код может быть удален
Отъезд Google OAuth2.0 документацию для лучшего понимания и увидеть, как его использовали.
https://developers.google.com/identity/protocols/OAuth2WebServer
Для Kong вопрос, кажется, его ошибка в Конге, и они обещали дать исправить в 0,9 релизе. Проверьте это discussion.
благодарит за ответ. Я тоже думал об этом, но, как я уже упоминал, я использую плагин OAuth 2.0 на шлюзе API Kong для защиты своих API-интерфейсов, и так оно и происходит. он генерирует множественный токен доступа для одного и того же кода для определенного времени (приблизительно 10 минут). я должен это ограничивать? Эта информация документирована где-то или основана на вашем опыте? – Suraj
Я читал это, и я использую API-интерфейс Kong, поэтому я ответил в целом, и да, вы должны ограничить его одним токеном доступа на один код авторизации, по крайней мере, я бы рекомендовал этот способ –