保护Oauth2 refresh_token

时间:2018-01-24 14:01:29

标签: security authentication spring-boot spring-security-oauth2

我正在使用Oauth2来处理我的系统中的身份验证。虽然身份验证有效,但我担心刷新令牌端点的安全性。前端调用此端点以在到期后获取新的访问令牌。

我的问题是你如何阻止某人调用该端点并获取新的访问令牌?您是否会使用访问令牌进行身份验证?目前我正在使用这些令牌在单独的服务上验证API调用。

端点目前支持csrf,但这可能还不够。

谢谢!

1 个答案:

答案 0 :(得分:0)

刷新令牌用于获取新的访问令牌。这是身份验证发生的地方。

您可以减少刷新令牌有效的时间。

您还可以选择是否要更新刷新令牌,以便每次调用刷新访问令牌。

未经身份验证的客户端无法调用刷新令牌端点并获取新的访问令牌。