协议概览
Issuer 固定为:
https://account.ylfcat.top客户端应从 OpenID Provider Configuration 动态读取端点、支持的签名算法和公钥地址。
- 仅支持
response_type=code。 - 所有客户端强制 PKCE S256。
- Redirect URI 逐字符精确匹配,不允许通配符。
- 首次授权或申请新增 scope 时必须显示用户同意页。
- Access Token 与 ID Token 有效期 15 分钟。
- Refresh Token 30 天闲置过期、90 天绝对过期,使用后轮换并检测重放。
- 暂停应用后,禁止新授权和刷新。
sub 是面向客户端的稳定用户标识。应用应以 iss + sub 作为唯一键,不要以用户名或邮箱标识用户,因为它们可能变更。