跳转到内容

协议概览

Issuer 固定为:

https://account.ylfcat.top

客户端应从 OpenID Provider Configuration 动态读取端点、支持的签名算法和公钥地址。

  • 仅支持 response_type=code
  • 所有客户端强制 PKCE S256。
  • Redirect URI 逐字符精确匹配,不允许通配符。
  • 首次授权或申请新增 scope 时必须显示用户同意页。
  • Access Token 与 ID Token 有效期 15 分钟。
  • Refresh Token 30 天闲置过期、90 天绝对过期,使用后轮换并检测重放。
  • 暂停应用后,禁止新授权和刷新。

sub 是面向客户端的稳定用户标识。应用应以 iss + sub 作为唯一键,不要以用户名或邮箱标识用户,因为它们可能变更。