首页 新闻 赞助 找找看

OAuth协议中关于Authorization Code的存储与生存期选择策略问题

0
悬赏园豆:50 [已关闭问题] 关闭于 2014-04-10 16:17

RFC 6749文档并没有规定Authorization Code(以下简称Code)该如何被存储,只规定了如何传递。

现在面临的一个问题就是授权服务器向客户端颁发了Code之后,这个Code应不应该被存储?

  • 如果需要被存储,那么是不是应该有生存期/过期机制?这个生存期/过期时间该如何选择?Code是应该被存储进数据库还是仅使用缓存/Session/Cookie存储?
  • 如果不需要存储,那么在客户端使用该code发起Access Token请求的时候,服务器该如何验证code的有效性?

请对OAuth协议有较深理解并有实际搭建服务器经验的园友给予指点。谢谢!

飞鸟_Asuka的主页 飞鸟_Asuka | 菜鸟二级 | 园豆:209
提问于:2014-03-19 15:26
< >
分享
所有回答(1)
0

当然保存了啊,而且发给服务调用应用的Authorization Code是加密过的。

不要理我 | 园豆:180 (初学一级) | 2014-03-20 14:33

既然要保存的话,那么生存期该怎么选择呢

支持(0) 反对(0) 飞鸟_Asuka | 园豆:209 (菜鸟二级) | 2014-03-20 14:34

@飞鸟_Asuka: 用户自己管理的。你没用过?

支持(0) 反对(0) 不要理我 | 园豆:180 (初学一级) | 2014-03-20 15:14

@不要理我: 我问的是在服务器上的生存期。我现在是在搭建服务器

支持(0) 反对(0) 飞鸟_Asuka | 园豆:209 (菜鸟二级) | 2014-03-20 15:24

@飞鸟_Asuka: 跟搭服务器有关系?

支持(0) 反对(0) 不要理我 | 园豆:180 (初学一级) | 2014-03-20 15:27

@不要理我: 我是从无到有搭建一个符合Oauth 2.0协议的授权服务器。那么它就应该有发放Authorization Code的能力和发放Access Token的能力。我在提问中也写了,现在的问题就是发放给客户端的code是不是要在服务器上保存,保存的话生存期怎么处理。

支持(0) 反对(0) 飞鸟_Asuka | 园豆:209 (菜鸟二级) | 2014-03-20 15:52
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册