OAuth协议中关于Authorization Code的存储与生存期选择策略问题

悬赏园豆：50 [已关闭问题] 关闭于 2014-04-10 16:17

RFC 6749文档并没有规定Authorization Code（以下简称Code）该如何被存储，只规定了如何传递。

现在面临的一个问题就是授权服务器向客户端颁发了Code之后，这个Code应不应该被存储？

如果需要被存储，那么是不是应该有生存期/过期机制？这个生存期/过期时间该如何选择？Code是应该被存储进数据库还是仅使用缓存/Session/Cookie存储？
如果不需要存储，那么在客户端使用该code发起Access Token请求的时候，服务器该如何验证code的有效性？

请对OAuth协议有较深理解并有实际搭建服务器经验的园友给予指点。谢谢！

OAuth

飞鸟_Asuka

| 菜鸟二级 | 园豆：393
提问于：2014-03-19 15:26

< >

所有回答(1)

当然保存了啊，而且发给服务调用应用的Authorization Code是加密过的。

不要理我 | 园豆：180 (初学一级) | 2014-03-20 14:33

既然要保存的话，那么生存期该怎么选择呢

支持(0) 反对(0) 飞鸟_Asuka | 园豆：393 (菜鸟二级) | 2014-03-20 14:34

@飞鸟_Asuka: 用户自己管理的。你没用过？

支持(0) 反对(0) 不要理我 | 园豆：180 (初学一级) | 2014-03-20 15:14

@不要理我: 我问的是在服务器上的生存期。我现在是在搭建服务器

支持(0) 反对(0) 飞鸟_Asuka | 园豆：393 (菜鸟二级) | 2014-03-20 15:24

@飞鸟_Asuka: 跟搭服务器有关系？

支持(0) 反对(0) 不要理我 | 园豆：180 (初学一级) | 2014-03-20 15:27

@不要理我: 我是从无到有搭建一个符合Oauth 2.0协议的授权服务器。那么它就应该有发放Authorization Code的能力和发放Access Token的能力。我在提问中也写了，现在的问题就是发放给客户端的code是不是要在服务器上保存，保存的话生存期怎么处理。

支持(0) 反对(0) 飞鸟_Asuka | 园豆：393 (菜鸟二级) | 2014-03-20 15:52

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。