我正在使用Oauth2来处理我的系统中的身份验证。虽然身份验证有效,但我担心刷新令牌端点的安全性。前端调用此端点以在到期后获取新的访问令牌。
我的问题是你如何阻止某人调用该端点并获取新的访问令牌?您是否会使用访问令牌进行身份验证?目前我正在使用这些令牌在单独的服务上验证API调用。
端点目前支持csrf,但这可能还不够。
谢谢!
答案 0 :(得分:0)
刷新令牌用于获取新的访问令牌。这是身份验证发生的地方。
您可以减少刷新令牌有效的时间。
您还可以选择是否要更新刷新令牌,以便每次调用刷新访问令牌。
未经身份验证的客户端无法调用刷新令牌端点并获取新的访问令牌。