cc959798
V2EX  ›  PHP

为什么 OAuth2.0 要设计 refresh token

  •  1
     
  •   cc959798 · Jul 14, 2018 · 5776 views
    This topic created in 2918 days ago, the information mentioned may be changed or developed.

    refresh token 用来请求 access token,access token 过期时间变得非常短暂,网上的答案都是说增强了安全性,但是具体没说怎么增强,请问添加 refresh token 具体意义是什么

    Supplement 1  ·  Jul 16, 2018
    感觉大多数人也是似懂非懂的哈
    11 replies    2018-07-15 10:11:28 +08:00
    stevenhawking
        1
    stevenhawking  
       Jul 14, 2018
    因为短了所以安全, 添加 refresh_token 的意义就在于让他变得更安全
    zwh2698
        2
    zwh2698  
       Jul 14, 2018 via Android
    如果一个 token 长期有效,你怕不怕别人偷你家东西?你设置失效机制,但是你活没完,怎么办申请延期,可是如果谁都能申请延期那还有什么意义,所以需要身份证
    hu5ky
        3
    hu5ky  
       Jul 14, 2018
    Acebiu
        4
    Acebiu  
       Jul 14, 2018
    panpanpan
        5
    panpanpan  
       Jul 14, 2018 via iPhone
    access token 是给客户端的,有泄露的风险,refersh token 是给服务端的,不能暴露给用户。
    HunterPan
        6
    HunterPan  
       Jul 15, 2018
    @panpanpan 你这个说发也解决不了泄露问题的。
    Lax
        7
    Lax  
       Jul 15, 2018
    @HunterPan 把泄漏分两个阶段看

    1,从 token 泄漏途径方面,确实没有减少泄漏的机会
    2,当 token 已经泄漏,更短的失效时间能够减少损失。
    leekafai
        8
    leekafai  
       Jul 15, 2018
    scope=时间+范围
    doubleflower
        9
    doubleflower  
       Jul 15, 2018 via Android
    有些服务 refresh token 也会很快过期,比如 inoreader 家的 API
    cc959798
        10
    cc959798  
    OP
       Jul 15, 2018
    @zwh2698 但是 refersh token 也是存在客户端,也可以通过获得 refersh token 来再次窃取 access token
    whileFalse
        11
    whileFalse  
       Jul 15, 2018
    @cc959798 但是如果有需要的话,refresh_token 也可以存在服务端。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3093 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 49ms · UTC 06:47 · PVG 14:47 · LAX 23:47 · JFK 02:47
    ♥ Do have faith in what you're doing.