OAUTH access_token TTL

Question

У меня есть сервер аутентификации OAUTH2, который устанавливает TTL по умолчанию (3600) для каждого нового acccess_token.

Но, по-моему, TTL access_token должен отличаться для каждого сервера ресурсов. Как и для веб-интерфейса JavaScript, он должен быть 3600, для Android-приложения это может быть один месяц.

Кто решает, как долго должен быть TTL access_token? Должен ли GET access_token запрашивать у клиента запрос пользовательского TTL? Должен ли TTL для каждого ресурса быть определен в конфигурации службы (вместе с client_id, client_secret, App Description, ...) на сервере аутентификации?

Answer 1

Сервер авторизации, который выдает токен, несет ответственность за назначение для него времени истечения срока действия. Нет стандартизованного параметра запроса авторизации, который клиент может использовать для указания предпочтительного TTL. Сервер авторизации решает на основе политики, которая может быть основана на идентификаторе клиента и связанных/настроенных «разрешениях» или «доверия», параметрах, доступных в запросе авторизации (например, scope) и других контекстуальных данных, таких как параметры запроса HTTP, время день и т. д.