为啥要使用refresh token?为何会更安全?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了为啥要使用refresh token?为何会更安全?相关的知识,希望对你有一定的参考价值。

参考技术A 普通的token方案 有效期设置过长不安全,过短需要频繁重新登录,体验差。

access token 有效期短,如果被盗损失更小,所以安全性更高。
如果refresh token被盗了,想刷新access token的话,也需要提供过期的access token。盗取难度增加。

同时refresh token只有在第一次获取和刷新access token时才会在网络中传输
被盗的风险远小于access token 从而在一定程度上更安全了一点
所谓的更安全就是让盗取信息者更不容易获得而已。

参考文章:
没有理解refresh token的必要性或者说其为何比access token安全 - Java技术 - Java - 水木社区 (newsmth.net)

以上是关于为啥要使用refresh token?为何会更安全?的主要内容,如果未能解决你的问题,请参考以下文章

如何以及为啥使用 refresh_token 处理 jwt 令牌过期,还有另一种选择吗? [关闭]

JWT, 为啥需要刷新令牌?

Refresh-Token (JWT) 如何避免中间人攻击?

在`Angular`中实现`Refresh Token`

Spring Cloud微服务安全实战_5-5_refresh token失效处理

Spring Cloud微服务安全实战_5-5_refresh_token