参考:
RFC 6749
使用
A网站拿到令牌以后,就可以向B网站的API请求数据了。
此时,每个发到API的请求,都必须带有令牌。具体做法是在请求的头信息,加上一个Authorization字段,令牌就放在这个字段里面。
更新
令牌的有效期到了,如果让用户重新走一遍上面的流程,再申请一个新的令牌,很可能体验不好,而且也没有必要。OAuth 2.0允许用户自动更新令牌。
具体方法是,B网站颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据(access token),另一个用于获取新的令牌(refresh token)。令牌到期时,用户使用refresh token发一个请求,去更新令牌。
B网站验证通过以后,就会颁发新的令牌。
