当一个OAuth 2.0提供者发出的令牌,就是令牌值永远唯一的供应商? 或者是有可能令牌到期在未来某个时候,想必以后,另一个标记,可能对于不同的用户,可以用相同的值发出? 在搜索,我发现约令牌期满多的信息,但没有关于如果令牌值可能在将来被重新使用的详细信息。
Answer 1:
没有什么核心的OAuth 2规范,保证这一点。 这是特定的实现是否有碰撞与否的机会。 你应该从你的OAuth AS供应商的可能性就是找出。 但随着阿尔乔姆同意 - 这,如果你想唯一标识基于什么是假设只是一个API(访问)令牌用户听起来很奇怪。
Answer 2:
如果你使用像UUID - 这是随时间变化的和独特的 - 所以你不应该让他们重用。 考虑帐户,你会产生不同的时刻令牌 - 他们都将是不同的。
文章来源: Is an OAuth 2.0 token forever unique to the provider?
