在OAuth2中刷新令牌有什么好处

2018-06-16 23:00:13

基于OAuth 2.0协议Refresh Tokens用于重新认证访问令牌，主要用于通过将刷新令牌保存到数据库并对其进行控制来维持撤销。这样做的好处是什么？为什么不保存Access Token本身？

访问令牌很短，通常只能工作1个小时。为了获得新的访问令牌，您使用刷新令牌。

第24页

Authorization servers SHOULD issue access tokens with a limited
   lifetime and require clients to refresh them by requesting a new
   access token using the same assertion if it is still valid.
   Otherwise the client MUST obtain a new valid assertion.

通过发送刷新令牌并请求新的访问令牌，验证服务器将有机会验证您是否仍有访问权限，并且用户尚未撤销您的访问权限。

回答下面的原因：

获取令牌的原因是短暂的，因为如果攻击者受到攻击，其使用时间有限。它通常会在一小时内过期。

如果刷新令牌被破坏，则它是无用的，因为黑客无法访问客户端ID，而客户端ID必须同时发送到验证服务器才能获得新的访问令牌。

请参阅为什么OAuth v2具有访问权限和刷新令牌？对于包含吊销考虑因素的扩展答案

链接地址: http://www.djcxy.com/p/47957.html

上一篇: What benefits refresh tokens in OAuth2

下一篇: How to securely keep my users signed in with refresh tokens?