那些遇到过的问题

如何保存刷新令牌

Bil*_*Yan 27 oauth oauth-2.0

我正在尝试为我的应用程序添加身份验证功能.身份验证服务器实现oauth 2.0

我不知道如何保存refresh_token.我想将它保存到文件中,因此下次当应用程序启动并且有一个refresh_token可用时,它可以请求新的access_token.用户无需再次重新登录.

但这对我来说听起来并不安全,因为如果有人将我的具有refresh_token的文件复制到另一台计算机,他可以入侵我的帐户.

小智 13

您对所描述的攻击是正确的.必须安全地存储刷新令牌才能按预期使用.据我了解,您正在构建一个独立的应用程序.因此,您可以依赖文件系统安全性来防止未经授权的用户复制刷新令牌.您可能也希望对刷新令牌使用加密,但是密钥需要绑定到本地计算机上的用户会话(否则,用户需要在"登录"过程中提供它以便应用程序解密刷新令牌).

考虑从OAuth工作组中读取线程,该线程讨论与所描述类似的问题,并提供一些指导:https: //www.ietf.org/mail-archive/web/oauth/current/msg02292.html

  • 请点击此处https://developers.google.com/api-client-library/python/guide/aaa_oauth查看包含以下代码行的部分:`from oauth2client.file import Storage`.当我使用该代码创建存储时,它只是创建了一个包含所有信息的普通JSON文件.这个类"oauth2client.file.Storage"的一个优点是它应该是线程安全的.但是,这里没有使用加密,所以我很伤心.Google建议尽可能使用他们的库,以避免"搞砸".但是,Storage类没有做太多.思考? (2认同)

Sud*_*ari 7

刷新令牌用于获取访问权限(此过程需要HTTP Basic Auth)。因此,除非用户拥有您的(id,secret)组合,否则他将无能为力。但是,必须非常认真地考虑刷新令牌的存储。

这是我的两分钱:

  1. 将令牌存储在数据库中

  2. 每当您使用刷新令牌获取访问令牌时,也请重置刷新令牌。(Oauth2.0具有此功能,您也可以使刷新令牌不变,但是从安全角度考虑,使它保持更改和更新数据库是明智的)

希望这能提供一些见识!

  • 重置刷新令牌不需要重新身份验证。 (2认同)

归档时间:

查看次数:

26560 次

最近记录:

5 年,11 月 前
相关归档
如何在ASP.NET MVC 5和WEB API 2中实现oauth2服务器 124
Github oauth多个授权回调URL 17
如何在Android App中设置Google Drive Credentials? 9
仅当通过调用(Google Identity Services)GIS 的 google.accounts.oauth2.revoke 撤销令牌时才会出现 CORS 问题 7
授权Vimeo高级API 5
注册外部登录时CreateUserAsync失败 5
在React Redux应用程序中使用OAuth2刷新令牌 5
PHP:Google plus Oauth 2.0 - 获取OAuth2访问令牌时出错,消息:'invalid_client' 3
如何允许应用程序声明“https”方案 URI?(即如何从 https URL 打开桌面应用程序?) 3
无法覆盖门卫中的自定义令牌错误响应 2
难疑归档
如何检查jQuery中是否隐藏了一个元素? 7481
如何在shell脚本中打印JSON? 2905
在jQuery中添加表行 2331
什么是三法则? 2067
显示两个修订版之间已更改的文件 2041
如何在Linux中一步更改文件夹及其所有子文件夹和文件的权限? 1711
比较Java枚举成员:==或equals()? 1645
在JavaScript中将字符串转换为整数? 1603
用64位替换32位循环计数器会引入疯狂的性能偏差 1370
在Python中创建多行注释的方法? 1081