场景是:您拥有有效期较长的刷新令牌和有效期较短的访问令牌。
设置:有客户端、应用程序服务器和身份验证服务器。
优点之一是被盗的访问令牌只能在其有效时间内使用。
假设黑客窃取了有效期为 30 分钟的访问令牌。当黑客在 30 分钟后使用有效但已过期的被盗访问令牌进行请求时,应用服务器将使用刷新令牌对其进行刷新,从而黑客获得一个新的有效且未过期的访问令牌。
如何防止这种情况发生?
token access-token oauth-2.0 jwt refresh-token
access-token ×1
jwt ×1
oauth-2.0 ×1
refresh-token ×1
token ×1