为啥我们甚至需要通过 HTTPS 刷新令牌?
Posted
技术标签:
【中文标题】为啥我们甚至需要通过 HTTPS 刷新令牌?【英文标题】:Why do we even need to refresh tokens over HTTPS?为什么我们甚至需要通过 HTTPS 刷新令牌? 【发布时间】:2016-09-24 07:04:12 【问题描述】:Oauth2 引入了使用过期访问令牌和未过期(或长期)刷新令牌来访问新访问令牌的想法。
这个额外的安全层是有成本的(后端和前端)。这项措施的好处是否超过了成本?
如果您计划通过 http 部署 API,这听起来是一个不错的过程,但是当您使用 SSL (TLS) 时它仍然有用吗?
我在互联网上对这个问题的所有研究都以某种方式指出“如果攻击者窃取了您未过期的访问令牌......”,但是等等,不,没有人无法对我的令牌进行中间操作,因为它是通过 HTTPS。
那么我们是否信任 HTTPS,而这一切都是矫枉过正的教条,还是有任何其他理由担心我的用户令牌可能被盗?
【问题讨论】:
【参考方案1】:与其说是减轻令牌丢失,不如说是在中心位置请求新令牌时能够应用访问策略。
请记住,刷新令牌仅用于授权服务器以获取新的访问令牌,此时授权服务器可以应用这些集中策略,而访问令牌用于保存受保护资源的资源服务器.
见:what's the point of refresh token?
【讨论】:
以上是关于为啥我们甚至需要通过 HTTPS 刷新令牌?的主要内容,如果未能解决你的问题,请参考以下文章