一段时间后撤销刷新令牌是否合理?
[英]Is it ever reasonable to revoke a refresh token after a period of time?
问题描述
我在这里读到我想知道服务器是否应该在一段时间后撤销刷新令牌并强制用户再次登录? 我不记得上次我必须输入 Gmail 的登录凭据是什么时候。
如果给定用户刷新令牌 200 天,银行(或任何存储敏感数据的网站)会做什么? 他们是否应该允许用户继续使用该网站? 我知道它涉及到用户交互,所以这不是一件容易自动化的事情。
1 个解决方案
解决方案1
0 2019-10-30 20:05:09
刷新令牌生命周期(或启用)由控制资产的管理员决定,而不是由最终用户决定。
首选使用短命代币 - 它在技术上简单且零维护
如果没有可用的刷新令牌,如何刷新或撤销OAuth2.0 access / refresh_token?
[英]how to refresh or revoke OAuth2.0 access/refresh_token, when no refresh token available?
如何撤销用户作为管理员用户的访问令牌和刷新令牌? 在 Oauth2 中使用 JWT 时
[英]How to revoke the access token and refresh token of the user as an admin user? while using JWT in Oauth2
Microsoft Identity 平台场景中 access_token 和 refresh_token 的大小是多少,如果合理,是否应该存储在数据库中?
[英]what are the sizes of access_token and refresh_token in Microsoft Identity platform scenarios and if reasonable, should it be stored in the DB?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
撤销JWT Oauth2刷新令牌
如果没有可用的刷新令牌,如何刷新或撤销OAuth2.0 access / refresh_token?
如何撤销Oauth2.0中的访问和刷新令牌?
刷新令牌宽限期的安全隐患
如何撤销用户作为管理员用户的访问令牌和刷新令牌? 在 Oauth2 中使用 JWT 时
Microsoft Identity 平台场景中 access_token 和 refresh_token 的大小是多少,如果合理,是否应该存储在数据库中?
门卫撤销令牌
Nodemailer 中的 Google 刷新令牌 7 天有效期
撤销令牌OAuth 2 Google API
仅Oauth撤销访问令牌
相关标签