Tre*_*err 3 openid oauth-2.0 openid-connect identityserver4
我们有一个使用本地 API 身份验证通过 IdentityServer4 保护的 Web API。我们目前正在使用参考令牌和刷新令牌。既然我们有能力随时撤销引用令牌,我们是否有必要使用刷新令牌?我们不能为引用令牌设置一个较长的有效期吗?这种方法有任何安全隐患吗?
小智 10
从文档中:
使用引用令牌时 - IdentityServer 会将令牌的内容存储在数据存储中,并且只会将此令牌的唯一标识符发回给客户端。然后,接收此引用的 API 必须打开与 IdentityServer 的反向通道通信以验证令牌。
换句话说,客户端不必向 api 提供访问令牌,只需传递引用即可。
这是 JWT 令牌和参考令牌之间的很大区别。客户端向 API 发送 JWT 令牌,该令牌必须受到 API 的信任,而无需咨询提供商,而引用令牌则强制 API 联系提供商,而不必依赖客户端。
来自刷新令牌文档:
由于访问令牌的生命周期有限,因此刷新令牌允许在无需用户交互的情况下请求新的访问令牌。
现在的问题是,参考令牌会过期吗?不是来自其本身,因为它不包含逻辑,与 JWT 令牌不同。但可能有一个服务器端设置会触发某种过期,或者实际上导致引用被撤销。
无论哪种方式,在这种情况下刷新令牌都没有用处。因为您无法刷新引用令牌。引用令牌要么存在,要么不存在(无效或已被撤销)。
| 归档时间: |
|
| 查看次数: |
3707 次 |
| 最近记录: |