Warum kann der Client nicht einfach sowohl den Zugriffs- als auch den Aktualisierungstoken für jede autorisierte Anforderung zusammen senden? Wenn das Zugriffstoken abgelaufen ist, würden zwei zusätzliche Auslösungen nicht erforderlich sein, um ein neues Zugriffstoken abzurufen und schließlich die entsprechende Anfrage zu stellen.Warum senden Sie nicht gleichzeitig Zugriffs- und Aktualisierungstoken (OAuth2)?
Ich weiß, dass diese Operation amortisiert ist, aber es würde die Anzahl der Anfragen für sehr kurze Zugriffsmarken verringern. Und unter SSL sehe ich nicht, wie das Hinzufügen des Refresh-Tokens dieses anfälliger macht. Oder tut es?
Das ist es. Aktualisierungstoken werden an den Autorisierungsserver gesendet, um ein Zugriffstoken zu erneuern. Zugriffstoken werden an den Ressourcenserver gesendet, um die Ressourcen zu erhalten. Ihr Verhalten ist völlig anders –