Я хотел прояснить что-то о OAuth2. Предположим, у меня есть веб-приложение и ресурс/панель инструментов, которые являются специфичными для пользователя и которые я хочу защитить через OAuth2. Предположим, что мой сеанс пользователя длится 30 минут. Обычно я видел значения допустимости для токенов доступа 30 секунд. Итак, если мой пользователь входит в систему, получает токен доступа, а затем не может получить доступ к панели управления в течение 30 секунд, нужно ли им сделать два запроса в браузере - один для получения токена доступа и второй, используя этот токен доступа получить ресурс/dashboard? Это кажется очень неудобным. Должен ли я просто увеличить длину токена доступа так же, как и продолжительность сеанса, чтобы избежать таких неудобств?Если мои сеансы пользователя длится 30 минут, какое количество времени, на которое должен оставаться токен доступа Oauth2?
Я использую Spring 4.1.5.RELEASE, Spring security 3.2.5.RELEASE и oauth2 2.0.5.RELEASE, если это имеет значение.
Спасибо, - Дэйв
Звучит неплохо, но при условии, что пользователь продолжает активную сессию в течение 30 минут, когда эти начальные 30 минут встанут, они должны будут запросить новый токен доступа, это правильно? –
Да, это правильно – TheGeorgeous
Хорошо, но как это лучше, чем в обычном режиме? Кажется, это больше неприятностей для конечного пользователя, и вы ничего не получаете. –