Refresh_token机制:
Refresh_token的作用是刷新AccessToken。认证服务器会提供一个刷新接口,我们传入Refresh_token和client_id,认证服务器通过后会返回一个新的AccessToken。但是为了安全,Oauth2.0引入了两个措施:
1,要求refresh_token必须保存在客户端的服务器上,调用refresh_token的时候一定是从服务器到服务器的访问。
2,OAuth2引入了Client_Secret机制。每一个Client_id,都对应一个Client_Secret。这个Client_Secret会在客户端申请Client_id时,随Client_id一起分配给客户端。客户端把他们都保存在服务器上,刷新Refresh_token时,需要验证这个Client_Secret。