可能已经提出过这些问题,但我没有看到有关refresh_token分享的详细信息。
因此我们使用Azure Native API to Web API方案对用户进行身份验证。
我的客户端计算机将有一个python脚本,在执行时将对用户进行身份验证并生成access_token和refresh_token。为此,脚本具有client_id本机应用程序(本地应用程序不需要client_secret)。经过身份验证后,我们使用令牌访问web-api。
问题:由于客户端应用拥有所有这些信息,如果用户侵入代码并获得对client_id的访问权限,access_token和refresh_token可以使用它们来生成令牌并访问Web API?
虽然我们将access_token缩短为10分钟,但如果他掌握client_id和refresh_token,他可以生成他想要的令牌并访问网络API。来自一台机器的refresh_token是否可以在另一台机器上运行。我找不到微软的任何文档说refresh_tokens绑定到基于IP或MAC的机器
答案 0 :(得分:0)
他们称之为持有人令牌。如果令牌遭到黑客攻击,则没有安全措施。承载令牌必须通过ssl传输并安全存储。