为什么我们甚至需要通过 HTTPS 刷新令牌?

【问题标题】:Why do we even need to refresh tokens over HTTPS?为什么我们甚至需要通过 HTTPS 刷新令牌?
【发布时间】:2016-09-24 07:04:12
【问题描述】:

Oauth2 引入了使用过期访问令牌和未过期(或长期)刷新令牌来访问新访问令牌的想法。

这个额外的安全层是有成本的(后端和前端)。这项措施的好处是否超过了成本?

如果您计划通过 http 部署 API,这听起来是一个不错的过程,但是当您使用 SSL (TLS) 时它仍然有用吗?

我在互联网上对这个问题的所有研究都以某种方式指出“如果攻击者窃取了您未过期的访问令牌......”,但是等等,不,没有人无法对我的令牌进行中间操作,因为它是通过 HTTPS。

那么我们是否信任 HTTPS,而这一切都是矫枉过正的教条,还是有任何其他理由担心我的用户令牌可能被盗?

【问题讨论】:

    标签: api security ssl oauth-2.0 access-token


    【解决方案1】:

    与其说是减轻令牌丢失,不如说是在中心位置请求新令牌时能够应用访问策略。

    请记住,刷新令牌仅用于授权服务器以获取新的访问令牌,此时授权服务器可以应用这些集中策略,而访问令牌用于保存受保护资源的资源服务器.

    见:what's the point of refresh token?

    【讨论】:

      猜你喜欢
      • 2020-12-03
      • 2017-01-18
      • 1970-01-01
      • 2010-09-20
      • 1970-01-01
      • 1970-01-01
      • 2021-11-30
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode