Почему токен доступа больше не истекает? - PullRequest
0 голосов
/ 04 января 2019

Я пытаюсь реализовать Oauth2 с Jwt в моем приложении.У меня есть одно сомнение: почему мне нужно меньшее время истечения до access_token и большее время истечения до refresh_token.

Что я хочу сказать, так это то, что я могу иметь access_token сболее длительное время истечения, и я буду защищать access_token, как я защищаю refresh_token, нет необходимости только в refresh_token.Имеет ли это смысл?

Так что, если я игнорирую refresh_token из своего приложения, столкнусь ли я с проблемой юзабилити или с безопасностью?

1 Ответ

0 голосов
/ 04 января 2019

См. RFC 6749 :

1,5.Обновить токен

Обновить токены - это учетные данные, используемые для получения токенов доступа.Токены обновления выдаются клиенту сервером авторизации и используются для получения нового токена доступа, когда текущий токен доступа становится недействительным или срок его действия, или для получения дополнительных токенов доступа с идентичной или более узкой областью действия (токены доступа могут иметь более короткий срок службы именьше разрешений, чем разрешено владельцем ресурса).Выдача токена обновления необязательна по усмотрению сервера авторизации.Если сервер авторизации выдает токен обновления, он включается при выдаче токена доступа (т. Е. Шаг (D) на рисунке 1).

Токен обновления - это строка, представляющая авторизацию, предоставленную клиентувладелец ресурса.Строка обычно непрозрачна для клиента.Маркер обозначает идентификатор, используемый для получения информации об авторизации.В отличие от токенов доступа, токены обновления предназначены для использования только с серверами авторизации и никогда не отправляются на серверы ресурсов.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...