簡體 English 中英

刷新令牌寬限期的安全隱患

[英]Security implications of refresh token grace period

原文 2021-03-04 15:22:14 8 1 django/ oauth-2.0/ websecurity/ django-oauth-toolkit

我有一個使用django-oauth-toolkit構建的 OAuth2 服務器，默認情況下，刷新令牌在使用時會立即被撤銷。 這意味着如果客戶端使用刷新令牌請求新的訪問令牌，但由於網絡中斷而沒有收到響應，他們將被迫重新進行身份驗證。

該庫提供設置REFRESH_TOKEN_GRACE_PERIOD_SECONDS ，這是在使用刷新令牌與其撤銷之間等待的時間量。 如果客戶端使用刷新令牌但未收到響應，則原始刷新令牌對於REFRESH_TOKEN_GRACE_PERIOD_SECONDS仍然有效，這允許客戶端無需重新驗證即可獲得新的訪問令牌。

據我所知，使用時立即撤銷刷新令牌的目的是防止重放攻擊，但由於此授權服務器專門使用 https，看來這足以防御此類攻擊。

是否存在因刷新令牌撤銷的寬限期而導致的其他漏洞？ 從不撤銷刷新令牌會有什么影響？

1 個解決方案

RFC 7009 https://tools.ietf.org/html/rfc7009#section-5中提到了安全注意事項

如果 TLS (HTTPS) 配置/管理不正確（不安全的 TLS 版本、密碼、中間人、證書過期、證書頒發機構問題……），您也可能會受到攻擊。

您的服務器上的資源耗盡可能存在問題。 刷新令牌需要一些資源 - 例如 memory，數據庫記錄，...

Model 不保存刷新令牌

[英]Model not saving refresh token

簡單 jwt 不返回刷新令牌

[英]Simple jwt not returning refresh token

如何以編程方式刷新Google OAuth2令牌

[英]How to refresh Google OAuth2 token programatically

何時在 DRF 中的 jwt 中調用 gettoken、刷新令牌和驗證令牌？

[英]When to call gettoken, refresh token and verify token by user in jwt in DRF?

如何在重置密碼時撤消刷新令牌？

[英]How to revoke refresh token on password reset?

Python Social Auth、Google 和刷新令牌

[英]Python Social Auth, Google, and refresh token

Django-allauth OAuth2 刷新令牌

[英]Django-allauth OAuth2 refresh token

安全掃描期間的CSRF令牌cookie漏洞

[英]CSRF token cookie vulnerabilities during security scan

Django Rest JWT 身份驗證 - 刷新令牌

[英]Django Rest JWT authentication - refresh token

如何在react js中實現刷新令牌

[英]How to implement refresh token in react js

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Model 不保存刷新令牌簡單 jwt 不返回刷新令牌如何以編程方式刷新Google OAuth2令牌何時在 DRF 中的 jwt 中調用 gettoken、刷新令牌和驗證令牌？如何在重置密碼時撤消刷新令牌？ Python Social Auth、Google 和刷新令牌 Django-allauth OAuth2 刷新令牌安全掃描期間的CSRF令牌cookie漏洞 Django Rest JWT 身份驗證 - 刷新令牌如何在react js中實現刷新令牌

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM