api - 拿到 oauth2 token 后怎么办？

Question

我正在尝试实现“使用...登录”身份验证系统。

我已经阅读了几篇关于 oauth2 的帖子和文章。我读过的每个人都在获取访问 token 并可能登录该 session 的用户时停止讨论或教程。

我理解这一点，并且可以实现那部分。这是我不明白的:

当用户离开网站并且一周没有回来，但他们仍然登录到客户端时，我如何将他们重新登录到我的应用程序？我知道您将访问 token 保存到数据库中，但是您如何使用它重新登录呢？

如果他们已从客户端注销，您如何将他们重定向到客户端的登录页面。似乎每次我尝试重新登录时，都会要求我再次允许或拒绝该应用程序。我知道这不是标准的，那么我该如何解决呢？我应该向客户端发送什么以便它知道用户已经授权了该应用程序？

除非有人知道一篇文章，否则我不需要代码示例，我真正想要的只是在收到并保存访问 token 后如何处理访问 token 的高级概述。

谢谢!

编辑:

我知道 OAuth2 本身并不是一个授权系统，但是每个人和他们的狗都有一个“使用...登录”选项。为了做到这一点，有必要使用 OAuth2(或某种形式的 API 标识符)。这就是我想要做的。

以下是否听起来像正确的流程:

从认证服务器获取临时代码

用它换取访问 token

从身份验证服务器获取用户数据并使用它做任何你想做的事情(可能保存到数据库)。

登录用户，同时保存刷新 token 。

在 cookie 中为用户设置一个标识符(访问 token )

当用户回来时，通过 cookie token 识别他们。

尝试调用 api 并查看访问 token 是否仍然有效。

如果访问 token 仍然有效，那就太好了!

如果访问 token 无效，则通过刷新 token 获取一个新 token 。

这是使用 OAuth2 帮助验证用户身份的基本要点吗？

Answer 1

首先，OAuth2不是身份验证协议(protocol)。颁发的访问 token 不会让您登录，但允许您调用 Web 服务 (API)。
OpenID Connect是建立在 OAuth2 之上的身份验证协议(protocol)。它允许您取回 id_token来自识别用户的授权服务器。如果您将 token (或其中的信息)保存在例如 cookie 中，则可以为用户建立经过身份验证的 session 。
您也不会将访问 token 存储在数据库中。访问 token 是短暂的，将它们存储在服务器端没有任何意义。
您确实将刷新 token 存储在数据库中。当客户端(请求 token 的应用程序)是 secret 的(可以保密)时，可能会发出刷新 token 。当旧 token 过期时，客户端可以使用此刷新 token 为 API 请求新的访问 token 。当用户一周未访问该应用程序时，这肯定会发生。