Per applicazioni mobili in cui l’RP intenda offrire un’esperienza utente che non passi per il reinserimento delle credenziali SPID ad ogni avvio, è possibile beneficiare di sessioni lunghe revocabili.
Potrebbe essere utile prevedere l’indicazione della scadenza del Refresh Token, come gia’ altri fanno, ad es:
- Linkedin restituisce un “refresh_token_expires_in” insieme al tokebn;
- altri metodi sono indicati qui: https://bitbucket.org/openid/fapi/issues/251/refresh-token-expiry-time
Davide Vaghetti (GARR)