是否在Datapower/API Connect [OAuth2]中禁用一次性刷新令牌?
我们有一个用API Connect/Datapower开发的OAuth/OIDC服务。
当用户请求新的refresh_token时-如果流中发生任何意外错误,则不会发出新的refresh_token,并且他们现有的refresh_token将被撤销。这会迫使用户经历新的同意流程。如果大量客户由于某些意外错误而受到影响,这可能会出现问题。我们希望旧的refresh_token在这种情况下仍然有效。
我们向我们的IBM支持联系人提出了这一点-他说这是预期的工作(即-它应该在第一个操作中撤销旧的refresh_token -它是一次性使用的,无论结果如何)。
我不确定如何做到这一点-或者在哪些版本中支持它。他说‘(在2018.4.1.x中)?对于v5 gw,请使用扩展来启用它,您需要使用最新的DP固件版本来进行上述操作。很难弄清楚这一点。IBM开发人员论坛甚至将我引导到Stack Overflow...
有没有人有更多关于多次使用refresh_token的信息/经验?或者在哪些版本中支持(或者链接到任何关于此的文档)?我在努力寻找这件事的具体线索。
谢谢
回答 3
Stack Overflow用户
发布于 2019-01-31 23:40:12
我猜他说的是count配置。它恰好位于Enable refresh tokens下面。
部分'OAuth 2‘->标记->启用刷新标记->计数
希望这篇文章能有所帮助。
Stack Overflow用户
发布于 2019-02-15 09:11:21
对于IBM API Connect version2018.4.1,您可以指定OAuth提供程序的刷新令牌是否只使用一次。
请参见OAuth本机provider>Tokens屏幕。
Stack Overflow用户
发布于 2019-02-16 03:46:08
访问令牌过期后,如果在OAuth提供程序应用编程接口中启用了该选项,则应用程序可以使用刷新令牌。每个刷新令牌在颁发后大约31天内有效,并且只能使用一次来请求新的访问令牌。除了新的访问令牌之外,还会返回一个新的刷新令牌。
https://stackoverflow.com/questions/54363159
复制相似问题
腾讯云开发者
