自定义(非OAuth)刷新令牌实现

时间:2015-10-22 08:56:03

标签: authentication oauth oauth-2.0 auth-token

我正在开发一个使用基于令牌的身份验证系统的应用程序,用户提供用户名/密码并接收令牌(令牌也会保存到数据库中)。然后,后续请求将此标记包含为自定义标头,我们可以使用它来标识用户。一切正常。

现在如果用户3天没有登录,我们就会使令牌过期。我正在阅读有关OAuth刷新令牌的一些内容,我想知道我是否可以以某种方式实现类似的东西。即,在提供身份验证令牌时,我还提供了一个刷新令牌,以后可以用它来请求新的身份验证令牌。但就安全性而言,它似乎非常类似于首先永远不会使用户的身份验证令牌过期。我是否应该使用刷新令牌发送附加信息以验证用户?

1 个答案:

答案 0 :(得分:-1)

在OAuth2中,资源服务器和授权服务器通常不相同。

当发出访问令牌和刷新令牌时,刷新令牌将被发送回客户端。 客户端需要对自身进行身份验证(使用客户端ID和客户端密钥)才能使用刷新令牌。资源服务器永远不会看到刷新令牌。

此外,访问令牌不会存储在服务器端,因为它们的生命周期有限。存储刷新令牌,因此可以撤销。