我计划为受 OAuth 2 (JWT) 保护的 Web API 开发命令行客户端。访问令牌和刷新令牌分别存在 5 分钟和 30 分钟。由于用户将使用命令行客户端超过五分钟(例如测试或调试会话),因此刷新令牌需要存储在本地计算机上,因此一开始只需要一次身份验证会议结束,而不是稍后。
我想知道在哪里可以安全地存储刷新令牌。用户主目录中的文本文件听起来可能还不错,因为这也是用户存储他或她的所有私人文档的地方。但是,同一用户运行的任何其他应用程序都可以读取该令牌并滥用它。
此类问题的常见解决方案是什么?
【问题讨论】:
标签: oauth-2.0 jwt command-line-interface refresh-token
您可以在此处使用 Resource Owner Password Credentials Grant,在其中您将使用命令提示符获取最终用户凭据并将其交换为令牌。有了这个,您可以考虑一种方法,根据您在请求令牌时获得的最终用户凭据来加密收到的令牌。因此,每当您需要使用刷新令牌时,您都可以提示最终用户输入他们的密码,这样您就不会存储密码,而且您还可以加密令牌,这样其他进程就不会照原样窃取它们。
【讨论】:
pass:my-cli-app login -u johndoe -p $(pass show whatever))时,可以安全地发生这种情况。
如 Kavindu 所说,使用 ROPG - 如果您的实现支持刷新令牌
之后,您可以将令牌存储在内存中或通过操作系统安全存储。选择有点主观,取决于被访问数据的敏感性
如果使用操作系统安全存储,则为每个应用 + 用户存储令牌,以确保隔离
执行此操作的示例跨平台组件是 keytar,我过去曾将其用于桌面应用程序 - 它基于 nodejs - 不确定这是否适合您: https://github.com/atom/node-keytar/blob/master/README.md
请参阅本文的操作系统安全存储部分,了解如何通过内置操作系统工具查看和管理条目: https://authguidance.com/2018/01/26/final-desktop-sample-overview/
【讨论】: