刷新令牌有什么用?据我了解,访问令牌过期时使用刷新令牌,发送刷新令牌以生成另一个刷新令牌和另一个访问令牌。这是因为如果访问令牌由于持续时间短而被劫持,恶意用户实际上无能为力,但如果持续时间较长的刷新令牌被劫持,则用户将无法再受到保护。那么刷新令牌应该存储在哪里,以便没有人可以劫持它?或者后端应该采取什么安全措施?
答案 0 :(得分:1)
将刷新令牌作为标记为 httpOnly 和 safe 的 sameSource cookie 发送。它将自动存储在 cookie 中,并随每个 http 请求发送到服务器。
httpOnly cookie 无法通过 JavaScript 访问,因此如果您使用 https 协议,则无法轻易劫持。