如何防止刷新被盗的访问令牌

【问题标题】:How to prevent refreshing a stolen access token如何防止刷新被盗的访问令牌
【发布时间】:2025-12-13 06:25:01
【问题描述】:

场景是:你有一个有效期较长的刷新令牌和一个有效期较短的访问令牌。

设置:有客户端、应用服务器和认证服务器。

  • 客户端存储访问令牌。
  • 应用程序服务器存储刷新令牌。
  • 身份验证服务器分发刷新 + 访问令牌。

其中一个优点是被盗的访问令牌只能在其有效时间内使用。

假设黑客窃取了有效期为 30 分钟的访问令牌。当黑客在 30 分钟后使用有效但已过期的被盗访问令牌发出请求时,应用服务器会使用刷新令牌对其进行刷新,从而使黑客获得一个新的有效且未过期的访问令牌。

如何预防?

【问题讨论】:

  • 嘿@Arthur。如果你找到了这个问题的最佳解决方案,请告诉我。我对这条线很困惑,如何防止这种情况? :--> Say a hacker steals the access token that is valid for 30 minutes. When the hacker makes a request with the valid but expired stolen access token after 30 minutes, the application server refreshes it with the refresh token, thus the hacker gaining a new valid and not expired access token.

标签: oauth-2.0 jwt token access-token refresh-token


【解决方案1】:

没有办法阻止黑客刷新令牌,除非

  1. 原用户重置密码,AUTH服务器删除了之前的所有刷新令牌。

  2. 减少刷新令牌的有效时间更接近访问令牌的有效性。

在这两种情况下,我们都依赖于使刷新令牌无效。

【讨论】:

    【解决方案2】:

    应用服务器不应该有刷新令牌。

    在 OAuth2.0 中,client 应该存储刷新令牌。

    要使用刷新令牌来生成新的访问令牌,client 应向授权服务器提供刷新令牌(连同客户端 ID 和密码)。

    【讨论】:

      猜你喜欢
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式