当refresh_token被盗时,我不太了解所有保护方案。请解释。
假设有一种情况:用户在移动应用中获得了授权,并且该应用包含两个令牌-短期访问access_token和长期生存resresh_token。现在,攻击者以某种方式从用户设备中窃取了两个令牌,并立即使用refresh_token获取新的令牌对,从而使旧令牌无效。之后,当用户尝试使用其旧的刷新令牌时,它将无效,并且将使用密码再次登录。
这时,服务器应该使所有其他刷新令牌无效,以防止攻击者进一步使用它。但是,然后如何为一个用户实施多个设备授权(如果一次只有一个刷新令牌)?