我正在尝试确定OAuth2标准中的刷新令牌的建议最大有效期限是多少。理想情况下,我想找到具体建议,其中应考虑到安全交互的性质或任何相关风险(例如个人数据)。
背景-OAuth2标准提供了一种使用刷新令牌获取新访问令牌的机制。访问令牌应具有“短”有效期,刷新令牌应具有“长”有效期。
网上有很多示例,它们讨论了不同应用程序的访问和刷新令牌的有效期限(example),但是这些示例都没有特别强的理由或针对特定长度的明确理由。
这是对于数据安全至关重要的医疗保健应用程序。我们想使用较长的刷新令牌长度(90天),但是我找不到能够帮助我理解使用这种持续时间的风险的指南。
答案 0 :(得分:2)
想到的问题是,如果数据敏感性至关重要,为什么还要90天?会话时间(例如30分钟)似乎是一个更好的选择。这与用户忘记密码而导致的登录可用性差有关吗?如果是这样,OAuth可以提供帮助。我的一些笔记在这里可能会有所帮助.. https://authguidance.com/2017/10/24/user-sessions-and-token-renewal/