让我解释一下这个标题:
我有一个使用OAuth2身份验证的PHP API。
我有一个NodeJS应用程序,通过密码授权使用此API。在会话中,节点存储访问令牌和刷新令牌…
在许多常见的OAuth2实现中,刷新令牌长时间有效(比访问令牌长得多)或者根本不会过期。您需要存储链接到节点会话的此刷新令牌(例如,在DB中)。然后,当用户回来时,只需使用相关的刷新令牌检索新的访问令牌。
根据 http://blog.cloud-elements.com/oauth-2-0-access-refresh-token-guide :
刷新令牌不能过期或可能有很长的时间到期。