Django oauth2 工具包:即使在 1 年后也不必登录?
Posted
技术标签:
【中文标题】Django oauth2 工具包:即使在 1 年后也不必登录?【英文标题】:Django oauth2 toolkit : don't have to login even after 1 year? 【发布时间】:2016-12-16 12:05:53 【问题描述】:我正在开发移动应用程序,其中 Ionic2 用于前端,django rest 框架用于后端,django oauth2 工具包用于身份验证。移动应用用户提交邮箱和密码的同时,服务器返回client_id、access_token和refresh_token,并保存在手机本地存储中。每当移动应用程序用户打开应用程序时,它都会请求访问令牌和客户端 ID,以便他们可以自动登录用户。如果此过程失败,它会再次请求刷新令牌以获取新的访问令牌。
我的问题是,我的做法是否适合移动用户在第一次之后不再需要登录?甚至移动应用程序用户在很长一段时间后打开应用程序,例如 1 年,移动应用程序用户是否仍有可能在不重新登录的情况下登录?
我只是想确定刷新令牌是否有限制时间或某些可能性..提前谢谢大家!
【问题讨论】:
【参考方案1】:如果你认为一年后你的手机可以访问,那你就错了。即使您在一段时间后也无法访问它。这段时间应该由你决定,你想让你的令牌存活多长时间。
制作终身代币真的很奇怪。
我认为这可能对您有所帮助--
OAuth2 and Google API: Access token expiration time?
Why do access tokens expire?
【讨论】:
以上是关于Django oauth2 工具包:即使在 1 年后也不必登录?的主要内容,如果未能解决你的问题,请参考以下文章
Spring Boot 2.0.3 Oauth2 安全性:即使在标头中使用访问令牌时也会出现 401 错误