Python Django:为什么谷歌OAuth2令牌在过期后仍然有效?
Python Django是一个流行的Web开发框架,而谷歌OAuth2是一种用于身份验证和授权的开放标准。当用户使用谷歌OAuth2进行身份验证后,谷歌会颁发一个访问令牌(Access Token)给应用程序,用于访问用户的谷歌资源。
在Python Django中,当使用谷歌OAuth2进行身份验证时,可以通过设置访问令牌的过期时间来控制令牌的有效期。默认情况下,谷歌OAuth2的访问令牌的有效期为1小时。
然而,即使在令牌过期后,谷歌OAuth2令牌仍然可以继续有效的原因是谷歌提供了一个刷新令牌(Refresh Token)的机制。刷新令牌是一个长期有效的令牌,用于获取新的访问令牌。当访问令牌过期时,应用程序可以使用刷新令牌向谷歌请求获取新的访问令牌,而无需用户重新进行身份验证。
这种设计有以下几个优势:
- 用户体验好:用户只需要在初次授权时进行一次身份验证,后续的访问令牌刷新过程对用户是透明的,无需再次输入用户名和密码。
- 安全性高:刷新令牌是长期有效的,但它的权限较低,只能用于获取新的访问令牌。即使刷新令牌泄露,攻击者也无法直接访问用户的谷歌资源。
- 便于开发:开发人员可以使用谷歌提供的OAuth2库来处理令牌的刷新过程,简化了开发流程。
在Python Django中,可以使用第三方库如django-allauth来实现谷歌OAuth2的集成。具体的实现步骤和代码示例可以参考腾讯云的文档:Python Django集成谷歌OAuth2。
总结起来,谷歌OAuth2令牌在过期后仍然有效是因为谷歌提供了刷新令牌的机制,使得应用程序可以获取新的访问令牌,从而实现持续的身份验证和授权。
相关·内容
我使用的是谷歌OAuth2 flow,如下所示:https://developers.google.com/identity/protocols/oauth2/web-server。在将代码交换到访问令牌后,凭据将保存在数据库中。在那里连同访问令牌和刷新令牌一起保存令牌到期时间,即1小时(credentials.expiry)。 然后,我想检查如何刷新访问令牌</em
浏览 37提问于2021-08-27得票数 0
回答已采纳
几天以来,使用谷歌网站的谷歌网站的备份-解放-停止工作。com.google.sites.liberation.export.Main -d "$DOMAIN" -w wiki -u "$USER" -p "$PASSWORD" -f "$DIR/" 2>&1我试着用谷歌搜索找到一个解决
浏览 1提问于2015-05-29得票数 5
回答已采纳
1回答
首先,我使用了来自这个站点的OAuth 2.0代码谢谢,
我添加了以下代码,因为问题在这里,使用这个get函数的东西不是更新
浏览 2提问于2015-01-21得票数 0
2回答
我有一个授权服务器和多个使用OAuth2的资源服务器。所有这些都是使用Spring Security OAuth2实现的。我也有前端客户端,它使用授权代码流生成令牌。我的情况是,如果刷新令牌的有效性是2小时,而访问令牌的有效性是1小时。首先,获取令牌没有问题(这两个令牌都是新的。1小时后,访问令牌过期。现在假设应用仅在另一个30分钟(经过1.5小时)之后使用现有的刷新令牌<
浏览 44提问于2021-03-07得票数 1
1回答
我的应用程序使用谷歌刷新令牌(从谷歌获取access_token )。我有两个问题:
我知道Google刷新令牌在6个月内不会过期();假设我在1月1日下午5:00获得了刷新令牌refresh_token_old,而我的应用程序在1月1日下午5: 30 (即仅仅30分钟后)从谷歌请求另一个刷新令牌refresh_token_new,旧的刷新令牌是否仍然
浏览 2提问于2020-11-29得票数 4
2回答
我正在使用库来实现oauth2服务器。
目前,我使用访问令牌对每个请求进行身份验证,在访问令牌过期时使用刷新令牌,因此如果刷新令牌未过期,则服务器将返回新的访问令牌。如果刷新令牌过期,则返回以下错误:{“invalid_grant”:“error_description”:“刷新令牌已过期”},之后客户端用户将自动注销。我想用Oauth2实现标准
浏览 1提问于2016-01-08得票数 3
2回答
OAuth2访问令牌将在1小时后过期。我的问题是,如果有人填写了我想推送到Google日历的表单,当他们填写表单时,访问令牌过期,他们必须通过整个重新身份验证过程,我不知道如何保留整个请求(表单提交)并在我的令牌刷新后重新提交。我知道使用DB、保存参数、路径、请求方法以及所有这些都是可能的……但我想要做的是将所有内容保存在某种会话变量中,一旦谷歌OAuth访问令牌有效,它就会自动将整个请求重新提交给我的应用程序。
浏览 2提问于2013-07-26得票数 0
不管我读多少书,我都搞不懂谷歌OAuth2令牌是怎么工作的。阅读文档和许多其他地方表明,refresh_token不会过期,并且在access_token过期后使用。请参阅上的官方文档谷歌工程师能否确认正确的行为应该是什么,因为这似乎是行为和文档不匹配的情况。它还会使刷新令牌变得无用。
浏览 1提问于2013-05-16得票数 5
回答已采纳
我目前正在使用django- oauth2 -auth来管理google-oauth2的社交注册,以便访问Google Drive。我已将脱机访问添加到我的extra_arguments。因此,Google返回一个刷新令牌,并将其存储在django-social-auth中。问题是django-social-auth从不使用这个刷新令牌来更新访问令牌。因此,访问令牌将在一个小时后过期,并且我不能使用它来执行离线请求。
浏览 1提问于2012-10-16得票数 4
回答已采纳
我让python社交网站授权我的应用程序,一切都很好。我可以通过OAuth2登录我的应用程序,也可以通过典型的Django登录退出。My的问题:如果用户从谷歌(例如GMail )登录,它不会将我从Django应用程序中注销。尽管谷歌已被注销,但仍被授权为谷歌用户。我尝试过通过下面的加载策略刷新令牌,以“强制”检查,以确保Google仍然登录,而且这是不起作用的。我所要做的就是验证谷歌是否已经登录到静止状态,这样我就可
浏览 1提问于2020-10-06得票数 0
4回答
我正在使用oAuth2对用户进行身份验证,这给了我过期令牌。现在,当令牌过期时,我希望使用刷新令牌来获得新的访问令牌。为了查看令牌是否过期,我正在考虑在一个小时后存储当前Date.now()的值和Date.now()的值。
浏览 0提问于2019-01-12得票数 3
回答已采纳
我有一个基于web的应用程序,使用谷歌OAuth2.0作为登录框架。在昨天之前,它一直运行得很好。访问令牌过期后,应用程序无法获取刷新令牌。此外,“请求许可”页面已经从“知道你在谷歌上是谁”和“查看你的电子邮件”改为“可以离线访问”。OAuth致命错误:未捕获异常'
浏览 1提问于2013-12-13得票数 17
am.getAuthToken(accounts[accountref], SCOPE_CONTACTS_API, null, TestAuthActivity.this, NULL (HERE), null);,这个标记有效吗编辑2012年5月8日:<?feeds/contacts/default/full
$var = $_POST['authToken&#
浏览 1提问于2012-08-03得票数 3
回答已采纳
如何使用bigquery流插入从服务器到服务器,而不使用oauth2或使用苍穹键?(https://developers.google.com/bigquery/docs/reference/v2/tabledata/insertAll是否可以在不对每个插入执行请求令牌的情况
浏览 1提问于2014-04-15得票数 3
回答已采纳
2回答
让我解释一下标题:我有一个NodeJS应用程序,通过密码授予使用这个API。在会话中,节点存储每个用户的访问令牌和刷新令牌。我的问题是:我想让我的access_token保持短暂的生命,因为我听说它是进一步的安全性(3600秒左右),但是我希望允许用户在几天后回来,并且仍然通过身份验证,或者至少避免再次询问他密码登录。是否被迫延长访问令牌的生存期?节点服务器是否需要刷新用户的令牌,即使他没有请求任何东西
浏览 6提问于2015-09-01得票数 0
回答已采纳
过了一段时间,我发现所有已经过期的访问令牌仍然存储在数据库中,用户应该撤销它们以将其删除。现在我在想是不是还好?因为很多代币太旧了,不是应该过一段时间再移除吗?例如,删除30天前过期的所有令牌!附注:在我的例子中,我使用Django + DRF + oauth2 provider进行身份验证管理。
浏览 18提问于2020-06-20得票数 1
有了旧的Facebook访问令牌(Oauth1),成为可能。
使用新的Oauth2令牌可以做到这一点吗?您可以从令牌本身获得任何数据吗?我知道您可以将令牌传递给/me并获取大量信息(假设令牌仍然有效),但我感兴趣的是,是否有任何方法可以在没有网络连接和/或令牌过期的情况下在客户机上执行此操作。
浏览 0提问于2013-05-05得票数 0
回答已采纳
我能够使用在Power中使用OAuth2访问令牌设置数据源凭据。例如, "credentialDetails": { "credentials": "{\"credentialData\encryptionAlgorithm": "None",
"privacyLevel": "None"
浏览 14提问于2022-09-17得票数 2
回答已采纳
我刚接触OAuth和API,但一直在尝试弄清楚谷歌()提供的upload_video.py脚本,以便通过Python将视频上传到我的频道。谁能给我指出正确的方向,让我不必在每次运行时都手动验证脚本?
我希望在Google dev控制台中有一个选项,允许这种事情,但它看起来不是这样的。
浏览 0提问于2014-11-14得票数 0
9回答
有人能告诉我一个使用OAuth2和烧瓶,而不是在anyone上使用谷歌帐户进行身份验证的完整示例吗?我看过谷歌的库,可以开始检索授权代码,但我有点迷失了。查看谷歌的OAuth 2.0游乐场,我知道我需要请求刷新令牌和访问令牌,但是库中提供的示例仅用于App和Django。
我也尝试过使用包含对的引用的<e
浏览 6提问于2012-02-29得票数 62
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
