当我拥有有效的刷新令牌时,我正在尝试使用 Keycloak 管理 REST API 重新创建访问令牌。
我通过使用 POST /auth/realms/{realm}/protocol/openid-connect/token 调用实现了这一点。
问题是端点每次也返回一个新的刷新令牌。这是 JWT 授权流程的工作方式吗?
我认为正确的流程是仅在调用 auth 端点时获取新的访问令牌,并且当刷新令牌过期时,再次登录以获取新的刷新令牌;不要在每次查询新的访问令牌时都获得新的刷新令牌。
我还阅读了this 堆栈溢出帖子。我在这里错过了什么吗? 您可能会在以下请求中找到一张图片:
【问题讨论】:
标签: keycloak access-token refresh-token
使用一次性刷新令牌是一种现代最佳实践,因为如果相同的刷新令牌被使用两次,授权服务器就可以踢出用户。
怎么会这样?例如,如果刷新令牌被盗,那么黑客和您的应用程序都会尝试使用它!否则在系统中检测黑客有点困难
【讨论】:
首先你混淆了两件事。 使用 JWT 和 Oauth 授权令牌和刷新令牌开放 ID Connect 身份验证。
这是两个不同的对象。 每次获得访问令牌时,您都会获得一个新的 OAuth 刷新令牌。这是 OAuth 授予您“无限会话”的方式,但可以选择在任何尝试交换时拒绝新的访问令牌。
另见 RFC https://datatracker.ietf.org/doc/html/rfc6749#section-1.5
+--------+ +---------------+
| |--(A)------- Authorization Grant --------->| |
| | | |
| |<-(B)----------- Access Token -------------| |
| | & Refresh Token | |
| | | |
| | +----------+ | |
| |--(C)---- Access Token ---->| | | |
| | | | | |
| |<-(D)- Protected Resource --| Resource | | Authorization |
| Client | | Server | | Server |
| |--(E)---- Access Token ---->| | | |
| | | | | |
| |<-(F)- Invalid Token Error -| | | |
| | +----------+ | |
| | | |
| |--(G)----------- Refresh Token ----------->| |
| | | |
| |<-(H)----------- Access Token -------------| |
+--------+ & Optional Refresh Token +---------------+
Figure 2: Refreshing an Expired Access Token
【讨论】: