[英]How to securely keep my users signed in with refresh tokens?
來自https://stackoverflow.com/a/7209263/1225328 :
刷新令牌的想法是,如果訪問令牌被泄露,因為它是短暫的,攻擊者有一個有限的窗口濫用它。
我明白了,但是如果攻擊者訪問刷新令牌,他們將能夠獲得一個新的身份驗證令牌,我錯了嗎? 這似乎只是推遲了長期存在的令牌安全漏洞......
關於這一點,你會在同一個答案中找到:
刷新令牌(如果受到攻擊)是無用的,因為除了刷新令牌之外,攻擊者還需要客戶端ID和機密才能獲得訪問令牌。
那么使用刷新令牌和簡單地辭職之間的區別是什么? 如果您不希望用戶再次重新輸入,那么如何存儲客戶端ID和密碼?
正如@FStephenQ指出的那樣,刷新令牌只能使用一次:攻擊者將能夠獲得一個新的身份驗證令牌,但只能獲得一次,而且只能獲得一次。 但是,一旦你使用了新的刷新令牌,你如何獲得新的刷新令牌呢? 如果你使用一個新的,那么攻擊者也可以刷新他們的令牌......
實際問題是:如何讓我的用戶登錄? 在我使用的應用程序上,一旦我登錄,我就不必再次登錄了:他們如何進行?
刷新令牌只能用於刷新一次,並且僅在客戶端的訪問令牌過期時才會發送到身份驗證服務器。 使用刷新令牌時,身份驗證服務器將返回新的身份驗證令牌,並可選擇返回新的刷新令牌。 我們的想法是允許使用短期訪問令牌,同時允許有效的客戶端重新進行身份驗證,而不必強制用戶再次登錄。
如果刷新令牌被盜,則可以使用一次來獲取攻擊者的有效訪問令牌。 當客戶端嘗試刷新其令牌時,其刷新令牌將過時,因此將被拒絕。 然后,他們將要求用戶再次登錄,並且身份驗證服務器將為他們提供新的訪問令牌和刷新令牌,並且被盜令牌將無效。
我們如何通過網絡安全地將API密鑰和秘密令牌交付給用戶?
[英]How do we deliver the API keys and secret tokens securely over the wire to the users?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
