OAuth2 刷新令牌的最长建议有效期是多少?

【问题标题】:What is the maximum recommended expiry for an OAuth2 refresh token?OAuth2 刷新令牌的最长建议有效期是多少?
【发布时间】:2019-10-24 17:02:37
【问题描述】:

我正在尝试确定 OAuth2 标准中是否存在建议的刷新令牌最大到期时间。理想情况下,我希望找到考虑到安全交互性质或任何相关风险(例如个人数据)的具体建议。

背景 - OAuth2 标准提供了一种使用刷新令牌获取新访问令牌的机制。访问令牌的到期时间为“短”,而刷新令牌的到期时间为“长”。

网上有很多例子讨论了不同应用程序的访问和刷新令牌过期持续时间 (example),但这些例子都没有特别有力的理由或特定长度的明确理由。

这适用于数据安全性至关重要的医疗保健应用。我们希望使用较长的刷新令牌长度(90 天),但我无法找到帮助我了解使用这种持续时间的风险的指导。

我的工作地点:https://www.rfc-editor.org/rfc/rfc6749

【问题讨论】:

    标签: security oauth-2.0 refresh-token


    【解决方案1】:

    想到的问题是,如果数据敏感性至关重要,为什么要 90 天? 30 分钟等会话时间似乎是更好的选择。这与用户忘记密码的登录可用性差有关吗?如果是这样,OAuth 可以提供帮助。我在这里的一些笔记可能会有所帮助.. https://authguidance.com/2017/10/24/user-sessions-and-token-renewal/

    【讨论】:

    • 谢谢 - 我会阅读指南。是的,确实问题与登录可用性以及患者长时间离线(例如度假)的可能性有关。特定的应用程序上下文是针对临床试验的,其中避免给使用该应用程序的患者带来任何障碍非常重要。如果我们强迫他们重新登录,他们可能会放弃试验;由于临床试验设置,我们在身份验证体验方面也受到限制 - 我们无法保存任何个人身份信息,例如电子邮件地址。
    • 还取决于 OAuth 客户端的类型 - 如果是 Web UI,则很难确保 90 天的安全性 - 对于桌面和移动应用程序,您可以使用安全的操作系统存储,并且更容易证明 90 天的合理性
    猜你喜欢
    • 2012-12-19
    • 1970-01-01
    • 2018-09-26
    • 2017-12-02
    • 2017-04-20
    • 1970-01-01
    • 2018-11-27
    • 2017-12-13
    • 2012-07-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode