Oauth2 引入了使用过期访问 token 和未过期(或长期)刷新 token 来获取对新访问 token 的访问权限的想法。
这个额外的安全层有成本(后端和前端)。这种措施的好处是否超过了成本?
如果您计划通过 http 部署 API,这听起来是个不错的过程,但是当您使用 SSL (TLS) 时它仍然有用吗?
我在互联网上对这个问题的所有研究都以某种方式指向“如果攻击者窃取了您的未过期访问 token ......”,但是等等,不,没有人能够中间人化我的 token ,因为它是通过 HTTPS。
那么我们是否信任 HTTPS 而所有这些都是矫枉过正的教条,还是有任何其他理由担心我的用户的 token 可能被盗?
最佳答案
与其说是减轻 token 丢失,不如说是关于在中央位置请求新 token 时能够应用访问策略。
请记住,刷新 token 仅用于授权服务器以获取新的访问 token ,此时授权服务器可以应用这些集中策略,而访问 token 用于持有 protected 资源的资源服务器.
关于api - 为什么我们甚至需要通过 HTTPS 刷新 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37458087/