我正在尝试接触机器。我已使用oauth2.0安全性配置了代理。
一切正常。但是我注意到,即使我之前的那个令牌没有过期,每次点击oauth2/accesstoken端点都会生成一个新的访问令牌。
因此,我的端点一次可以访问多个令牌。我不是oauth2专家,但这不是安全隐患吗?如果我们有那么多的访问令牌。请澄清。这是每个oauth2服务器的常规实现,还是特定于apigee?如果是,为什么?
我的假设是,对于特定的客户端密钥/秘密,在任何给定时间只有一个有效的访问令牌,并且当该令牌过期时,客户端应使用刷新令牌来请求新的令牌。这是错吗?
使用PopulateCache和LookupCache策略。