相关疑难解决方法(0)

这里接受的答案是为什么OAuth2访问令牌到期:

• 许多提供商支持承载令牌,这些令牌在安全方面非常弱.通过使它们短暂存在并需要刷新,它们可以限制攻击者滥用被盗令牌的时间.(这是什么意思？我认为这意味着允许在没有TLS的情况下进行传输？还有其他什么？).
• 大规模部署不希望每次API调用都执行数据库查找,因此它们会发出自编码访问令牌,可以通过解密来验证.但是,这也意味着无法撤销这些令牌,因此它们会在短时间内发布并且必须刷新.
• 刷新令牌需要客户端身份验证,这使其更强大.与上述访问令牌不同,它通常通过数据库查找来实现.

假设我们不支持访问令牌的非加密传输,则需要处理第一个项目符号.

假设我们可以对可撤销的数据库进行查找,完全随机的访问令牌负责第二个.

对于移动应用程序,客户端身份验证不能更强,因为"在注册期间获取的client_id和client_secret都嵌入在应用程序的源代码中.在这种情况下,client_secret显然不被视为机密." (谷歌).这消除了第三个问题.

那么在这种情况下分离短期访问令牌和长期刷新令牌有什么好处呢？仅发出非过期访问令牌并忽略整个刷新令牌部分是"可以的"吗？

我正在开发具有自己的 oAuth 授权的 Google Chrome 扩展。当然，我必须使用 client_id 和 client_secret 作为请求令牌。有什么办法可以向用户隐藏这些数据吗？由于此请求只是 javascript 源代码的一部分，我不知道如何防止读取此数据。感谢您的回答。