OAuth2.0 多次发起授权，是返回同一个还是不同的 access token？

This topic created in 3473 days ago, the information mentioned may be changed or developed.

现在实现了一个 OAuth2.0 的服务，用户通过账号密码来取得 access token 。

现在是每登录一次都生成一个新的 access token ，我担心会不会有恶意调用这个接口生成大量 access token （尽管我的接口已经加了调用频率控制）。而且因为调用接口都是我自己的应用， access token 有效期我都设为永久了，这样就导致 access token 不会失效自动清除。

大家都是怎么做的呢？

token

Access

调用

OAuth

7 replies • 2016-12-02 18:25:46 +08:00

shyling

Dec 2, 2016

https://tools.ietf.org/html/rfc6749

luili

Dec 2, 2016

首先，我不是开发，我是产品汪，我不建议 access token 有效期设为永久，我比较推荐微信的做法：

https://ooo.0o0.ooo/2016/12/02/5841349ba442f.png

alex321

Dec 2, 2016

这个不都是通用有效期的么。。各种方便啊。

phpcxy

Dec 2, 2016

其实我的问题是:多个客户端是用一个 access token 还是不同的 access token
1.如果分发不同的 access token ，数据库里面可能会保存了大量的 access token ；
2.如果使用同一个 access token ，是所有客户端共用一个。如果这个 access token 失效就全部客户端都要重新授权。

asen477

Dec 2, 2016

如果是多端应用，建议还是多个 token 。

vghdjgh

Dec 2, 2016

github 的 access token 是永久有效的，不过用户在设置里可以 revoke 掉。

ikaros

Dec 2, 2016

用同一个吧,用同一个可以兼容其他情况,但是用不同的,像微信这种就会冲突,因为前一个会失效

https://mp.weixin.qq.com/wiki/14/9f9c82c1af308e3b14ba9b973f99a8ba.html

```
如果第三方不使用中控服务器，而是选择各个业务逻辑点各自去刷新 access_token ，那么就可能会产生冲突，导致服务不稳定。
```