为啥我们甚至需要通过 HTTPS 刷新令牌？

Posted 2023-02-19

【中文标题】为啥我们甚至需要通过 HTTPS 刷新令牌？

【英文标题】：Why do we even need to refresh tokens over HTTPS?为什么我们甚至需要通过 HTTPS 刷新令牌？

【发布时间】：2016-09-24 07:04:12

【问题描述】：

Oauth2 引入了使用过期访问令牌和未过期（或长期）刷新令牌来访问新访问令牌的想法。

这个额外的安全层是有成本的（后端和前端）。这项措施的好处是否超过了成本？

如果您计划通过 http 部署 API，这听起来是一个不错的过程，但是当您使用 SSL (TLS) 时它仍然有用吗？

我在互联网上对这个问题的所有研究都以某种方式指出“如果攻击者窃取了您未过期的访问令牌......”，但是等等，不，没有人无法对我的令牌进行中间操作，因为它是通过 HTTPS。

那么我们是否信任 HTTPS，而这一切都是矫枉过正的教条，还是有任何其他理由担心我的用户令牌可能被盗？

【参考方案1】：

与其说是减轻令牌丢失，不如说是在中心位置请求新令牌时能够应用访问策略。

请记住，刷新令牌仅用于授权服务器以获取新的访问令牌，此时授权服务器可以应用这些集中策略，而访问令牌用于保存受保护资源的资源服务器.

见：what's the point of refresh token?