面试题答案
一键面试访问令牌(Access Token)主要作用
- 资源访问授权:客户端凭借访问令牌,可以访问受保护资源。例如,第三方应用通过获取到的访问令牌,调用用户在资源服务器(如社交媒体平台)上的照片、文章等数据,代表用户进行操作。
- 权限控制:访问令牌包含了客户端被授予的权限范围信息。比如权限可能限定只能读取特定类型的数据,或者只能对数据进行读操作,而不能执行写操作。
访问令牌与刷新令牌功能不同点
- 有效期:
- 访问令牌:通常有效期较短,比如数分钟到数小时不等。较短的有效期是为了降低令牌泄露带来的风险,一旦令牌过期,恶意攻击者就无法继续使用它访问资源。
- 刷新令牌:有效期相对较长,可能长达数月甚至数年。它的长有效期是为了在访问令牌过期后,能在无需用户重新授权的情况下获取新的访问令牌。
- 用途:
- 访问令牌:直接用于访问受保护资源,是资源服务器验证客户端是否有权限访问资源的凭证。
- 刷新令牌:用于在访问令牌过期时,向授权服务器获取新的访问令牌,而不需要用户再次进行授权操作,提高用户体验,同时减少用户频繁授权的麻烦。