跳转到内容

令牌生命周期

凭据 生命周期 规则
Authorization Code 5 分钟 单次使用,绑定客户端、回调地址和 PKCE
ID Token 15 分钟 验证签名、issuer、audience、过期和 nonce
Access Token 15 分钟 仅发送给目标资源服务器
Refresh Token 30 天闲置 / 90 天绝对 每次使用轮换,检测重放
Terminal window
curl -X POST https://account.ylfcat.top/oauth/token \
-u "$CLIENT_ID:$CLIENT_SECRET" \
-H 'content-type: application/x-www-form-urlencoded' \
--data-urlencode grant_type=refresh_token \
--data-urlencode refresh_token="$REFRESH_TOKEN"

成功响应如果包含新的 Refresh Token,应在一个原子操作中替换旧值。旧 Refresh Token 随即失效。

如果已经轮换的 Refresh Token 再次出现,平台会将其视为可能泄漏,并撤销同一令牌族。客户端必须让用户重新授权,不应无限重试。

用户可在账号中心的“已授权应用”撤销授权;管理员暂停应用、用户修改密码或停用账号也会使相关令牌失效。