Каков максимальный рекомендуемый срок действия маркера обновления OAuth2? - PullRequest
0 голосов
/ 24 октября 2019

Я пытаюсь выяснить, существует ли максимально рекомендуемый срок действия для маркера обновления в стандарте OAuth2. В идеале я хотел бы найти конкретные рекомендации, которые учитывают природу безопасного взаимодействия или любые связанные с этим риски (например, личные данные).

Справочная информация - Стандарт OAuth2 предоставляет механизм для получения новых токенов доступа с использованиемобновить токен. Ожидается, что токены доступа будут иметь «короткий» срок действия, а токены обновления - «длинный».

Есть много примеров в Интернете, в которых говорится о продолжительности доступа к токену для обновления и обновления для различных приложений ( пример ), но ни одно из них не дает особенно убедительного обоснования или четкого обоснования для конкретной длины. ,

Это приложение для здравоохранения, где безопасность данных имеет решающее значение. Мы хотели бы использовать большую длину маркера обновления (90 дней), но я не смог найти руководство, которое помогло бы мне понять риски использования такой продолжительности.

Я работаю с: https://tools.ietf.org/html/rfc6749

1 Ответ

2 голосов
/ 24 октября 2019

Возникает вопрос: зачем 90 дней, если важна чувствительность данных? Время сеанса, например, 30 минут, кажется лучшим вариантом. Связано ли это с плохой практичностью входа в систему, когда пользователи забывают пароли? Если это так, OAuth может помочь. Некоторые мои заметки здесь могут помочь немного .. https://authguidance.com/2017/10/24/user-sessions-and-token-renewal/

...