sp0*_*00m 12 security authentication api remember-me auth-token
刷新令牌的想法是,如果访问令牌被泄露,因为它是短暂的,攻击者有一个有限的窗口滥用它.
我明白了,但是如果攻击者访问刷新令牌,他们将能够获得一个新的身份验证令牌,我错了吗?这似乎只是推迟了长期存在的令牌安全漏洞......
关于这一点,你会在同一个答案中找到:
刷新令牌(如果受到攻击)是无用的,因为除了刷新令牌之外,攻击者还需要客户端ID和机密才能获得访问令牌.
那么使用刷新令牌和简单地辞职之间的区别是什么?如果您不希望用户再次重新输入,那么如何存储客户端ID和密码?
正如@FStephenQ指出的那样,刷新令牌只能使用一次:攻击者将能够获得一个新的身份验证令牌,但只能获得一次,而且只能获得一次.但是,一旦你使用了新的刷新令牌,你如何获得新的刷新令牌呢?如果你使用一个新的,那么攻击者也可以刷新他们的令牌......
实际问题是:如何让我的用户登录?在我使用的应用程序上,一旦我登录,我就不必再次登录了:他们是如何进行的?
F. *_*n Q 14
刷新令牌只能用于刷新一次,并且仅在客户端的访问令牌过期时才会发送到身份验证服务器.使用刷新令牌时,身份验证服务器将返回新的身份验证令牌,并可选择返回新的刷新令牌.我们的想法是允许使用短期访问令牌,同时允许有效的客户端重新进行身份验证,而不必强制用户再次登录.
如果刷新令牌被盗,则可以使用一次来获取攻击者的有效访问令牌.当客户端尝试刷新其令牌时,其刷新令牌将过时,因此将被拒绝.然后,他们将要求用户再次登录,并且身份验证服务器将为他们提供新的访问令牌和刷新令牌,并且被盗令牌将无效.
| 归档时间: |
|
| 查看次数: |
4084 次 |
| 最近记录: |