- OAuth协议中,认证是非常重要而且不可或缺的一步,拿到authorization_code之后,才可以去换取refresh_token 和 access_token,当然要确认了
- 频繁授权的体验很差,设置一个factor 0.9,和 expired_in 乘积算出来的时间,可以作为access_token的缓存时间,access_token可以放在缓存中,每次检测缓存是否存在,不存在,直接用refresh_token 主动刷新,存储新的access_token,这样每次调API也方便. 为了防止意外,在http的error handling中,也加入认证失败的逻辑,如果失败,刷新access_token。 这样就是双保险了,用户长期在线。
- 其他网站基本就是我说的第二点,当然不同需求具体实现不同
作者:Jeffwan
链接:https://www.zhihu.com/question/20332683/answer/33852499
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。