为啥我们甚至需要通过 HTTPS 刷新令牌?

Posted

技术标签:

【中文标题】为啥我们甚至需要通过 HTTPS 刷新令牌?【英文标题】:Why do we even need to refresh tokens over HTTPS?为什么我们甚至需要通过 HTTPS 刷新令牌? 【发布时间】:2016-09-24 07:04:12 【问题描述】:

Oauth2 引入了使用过期访问令牌和未过期(或长期)刷新令牌来访问新访问令牌的想法。

这个额外的安全层是有成本的(后端和前端)。这项措施的好处是否超过了成本?

如果您计划通过 http 部署 API,这听起来是一个不错的过程,但是当您使用 SSL (TLS) 时它仍然有用吗?

我在互联网上对这个问题的所有研究都以某种方式指出“如果攻击者窃取了您未过期的访问令牌......”,但是等等,不,没有人无法对我的令牌进行中间操作,因为它是通过 HTTPS。

那么我们是否信任 HTTPS,而这一切都是矫枉过正的教条,还是有任何其他理由担心我的用户令牌可能被盗?

【问题讨论】:

【参考方案1】:

与其说是减轻令牌丢失,不如说是在中心位置请求新令牌时能够应用访问策略。

请记住,刷新令牌仅用于授权服务器以获取新的访问令牌,此时授权服务器可以应用这些集中策略,而访问令牌用于保存受保护资源的资源服务器.

见:what's the point of refresh token?

【讨论】:

以上是关于为啥我们甚至需要通过 HTTPS 刷新令牌?的主要内容,如果未能解决你的问题,请参考以下文章

为啥使用 JWT 刷新令牌

为啥刷新令牌更安全?如果刷新令牌也可能被盗,为啥我们还要使用它?

JWT, 为啥需要刷新令牌?

为啥 API 不使用访问令牌而不是刷新令牌?

为啥使用 JWT 刷新令牌

为啥我的 Google 云端硬盘刷新令牌会在 7 天后过期?