令牌生命周期
| 凭据 | 生命周期 | 规则 |
|---|---|---|
| Authorization Code | 5 分钟 | 单次使用,绑定客户端、回调地址和 PKCE |
| ID Token | 15 分钟 | 验证签名、issuer、audience、过期和 nonce |
| Access Token | 15 分钟 | 仅发送给目标资源服务器 |
| Refresh Token | 30 天闲置 / 90 天绝对 | 每次使用轮换,检测重放 |
curl -X POST https://account.ylfcat.top/oauth/token \ -u "$CLIENT_ID:$CLIENT_SECRET" \ -H 'content-type: application/x-www-form-urlencoded' \ --data-urlencode grant_type=refresh_token \ --data-urlencode refresh_token="$REFRESH_TOKEN"成功响应如果包含新的 Refresh Token,应在一个原子操作中替换旧值。旧 Refresh Token 随即失效。
如果已经轮换的 Refresh Token 再次出现,平台会将其视为可能泄漏,并撤销同一令牌族。客户端必须让用户重新授权,不应无限重试。
用户可在账号中心的“已授权应用”撤销授权;管理员暂停应用、用户修改密码或停用账号也会使相关令牌失效。