[英]Understanding authentication flow with refresh and access tokens on nodejs app
[英]Understanding the securing of access tokens and refresh tokens
首先,您需要了解,一旦攻擊者接觸到受害者的用戶代理(瀏覽器),您絕對無法阻止提取令牌。 沒有加密會有所幫助。 您需要將加密密鑰保存在客戶端的某處,這使得加密恕我直言的整個想法毫無意義。 有時人們被迫加密這樣的東西,因為他們希望他們的小姐妹無法訪問,或者因為大公司有你必須遵守的愚蠢政策。
我看到您願意將刷新令牌保存在 cookie 中。 沒關系,只要確保您進行了正確的配置。 這個演示文稿應該會有所幫助。
最后一句忠告。 Session 安全性不僅僅是關於 session 安全性。 您還需要進行 TLS、數據清理和訪問控制。 如果您忘記了 TLS,那么令牌存儲策略將無濟於事。
為了獲得最佳安全性 + 整體架構:
理解其中的原因是相當深刻的,如下面的我的博客文章:
不過,您可能有不同的目標。 如果有幫助,很高興回答后續問題。
直接回答您的問題:不,沒有理由加密刷新令牌。
加密 cookie 的唯一原因是它是否包含需要保護的信息,例如帳號、密碼等。刷新令牌不包含任何有意義的數據——它只是一個長隨機數,指向服務器的一個條目數據存儲。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.