Jos*_*nke 5 c# dotnetopenauth oauth-2.0
每当我们使用DotNetOpenAuthnew 刷新我们的授权Oauth2.0 RefreshToken时,响应中都会包含它。由于RefreshToken本身是一个长期存在的令牌,我们RefreshToken在每次请求后都会得到一个新令牌的原因是什么?
处理这个新的 RefreshTokens 的最佳方法是什么,我们应该在RefreshToken每次刷新授权时存储新的还是只保留旧的RefreshToken而忽略新的?
另请参阅此示例代码以提供一些上下文。
var serviceDescription = new AuthorizationServerDescription
{
ProtocolVersion = ProtocolVersion.V20,
TokenEndpoint = new Uri(Constants.TokenEndPoint)
};
var client = new WebServerClient(serviceDescription,
Constants.ClientId, Constants.ClientSecret);
var authorization = new AuthorizationState()
{
//Insert our stored RefreshToken
RefreshToken = TokenStore.Instance.RefreshToken
};
if (client.RefreshAuthorization(authorization))
{
//Store or ignore the new RefreshToken?
var NewRefreshToken = authorization.RefreshToken;
}
您在响应中返回的刷新令牌可能包含也可能不包含在响应中。如果存在,规范表示您必须使用新的刷新令牌来进行所有未来的令牌刷新。如果您再次使用旧的,授权服务器可能会完全撤销授权。
根据我对工作组讨论的理解,这样做的原因是,通过定期更改客户端上的刷新令牌,授权服务器可以检测刷新令牌是否已意外泄露给第三方。由于已批准的客户端和第 3 方都将使用相同的刷新令牌,因此如果一方收到新的刷新令牌,另一方仍将使用旧的刷新令牌。当旧的出现时,有两个客户端使用相同的刷新令牌这一事实将向身份验证服务器提示安全漏洞,并可能将其关闭。
| 归档时间: |
|
| 查看次数: |
1201 次 |
| 最近记录: |