Oauth2引入了过期访问令牌和非过期(或长期)刷新令牌的想法,用于访问新的访问令牌。
这个额外的安全层有一个成本(后端和前端)。这项措施的好处是否会增加成本?
如果您打算通过http部署API,这听起来不错,但是当您使用SSL(TLS)时它仍然有用吗?
我在互联网上对这个问题的所有研究都以某种方式指出“如果攻击者窃取你的非过期访问令牌......”,但是等等,不,没有人能够将我的令牌中间化,因为它是通过HTTPS。
那么我们是否相信HTTPS并且所有这些都是矫枉过正的教条,还是有任何其他理由担心我的用户的令牌可能被盗?
答案 0 :(得分:0)
这不是关于缓解令牌丢失的问题,而是关于在中心位置请求新令牌时能够应用访问策略的更多信息。
请记住,刷新令牌仅用于针对授权服务器获取新的访问令牌,此时授权服务器可以应用这些集中策略,而访问令牌用于保存受保护资源的资源服务器