我在我的API中实施OAuth 2.0。我们正在使用JWT进行身份验证,并刷新令牌以进行仅限客户端的重新授权。我是否应该要求客户在userId的正文中提供POST /token,以便他们一起要求了解用户和刷新令牌(因此您无法尝试一串随机字符串,看看有什么用)?标准是什么?
答案 0 :(得分:0)
如果规范正确实施,则无法猜测刷新令牌; https://tools.ietf.org/html/rfc6749#section-10.4说:
授权服务器必须确保刷新令牌不能 生成,修改或猜测生成有效的刷新令牌 未经授权的聚会。
您必须确保生成具有足够熵的刷新令牌,以便通过向其添加用户ID来使刷新令牌的随机性不会有任何不同。或者换一种说法:猜测你的刷新令牌就像猜测用户ID +刷新令牌一样难。除此之外,在POST中添加用户ID实际上比使用userid的长度向刷新令牌添加随机字符串更具可预测性。