使用訪問令牌獲取訪問令牌?
[英]get access token with access token?
問題描述
據我目前對訪問令牌的了解,在代碼流中,客戶端可以使用授權代碼或刷新令牌獲取訪問令牌。
但是.. 它可以在令牌過期之前使用它持有的訪問令牌獲得新的訪問令牌嗎?
我閱讀了 RFC6749 (1.1 ~ 1.4、4.1、4.2、5 部分只是為了時間)但我找不到這樣的
“訪問令牌必須僅由顯式資源所有者的授權或刷新令牌頒發”
所以我一直在想..
如何使用訪問令牌頒發訪問令牌。
這有什么問題嗎?
我幾乎是 OAuth 的菜鳥,只通過 inte.net 學習它,所以我可能完全誤解了一些東西 D:
請賜教..謝謝!
2 個解決方案
解決方案1
1 已采納 2022-04-20 11:30:18
您不能使用訪問令牌來獲取新的訪問令牌。 訪問令牌是獨立的不記名令牌,它授予您訪問某些數據的權限。 (由范圍表示)出於安全原因,訪問令牌的生命周期有限。 一旦過期,您將無法再使用它。
考慮是否有惡意的人獲得了您的訪問令牌。 然后他們可以使用它來訪問數據,但只能訪問有限的時間。 一旦訪問令牌過期,他們將無法再訪問該數據。
刷新訪問
身份驗證過程的第一步為您提供一個授權代碼,這是一個非常短暫的一次性代碼,可能只有五分鍾,並且只能使用一次。 當您交換它時,如果您請求離線訪問,您將獲得一個訪問令牌和一個刷新令牌。
刷新令牌可用於獲取新的訪問令牌。 您可以在以后使用它來獲得訪問權限,而無需再次請求用戶的訪問權限。 要獲得新的訪問令牌,您首先需要擁有用於創建訪問令牌的客戶端和 i 以及客戶端密碼,並且在某些情況下,您需要能夠訪問重定向 uri 所在的服務器。 這樣,如果同一個惡意人員訪問了他們的刷新令牌,他們就無法使用它來獲取新的訪問令牌,除非他們擁有您的客戶端 ID、客戶端密碼和服務器訪問權限。
你可能會發現這個有趣的 Understanding oauth2 with curl
解決方案2
1 2022-04-20 12:40:41
TLDR
能夠撤銷訪問權限。 刷新令牌用於此。
這是我的理解。 訪問令牌不由頒發它們的身份驗證服務器保留。 它們的尺寸非常大,在一般情況下可能有很多,每個 scope 一個或一組范圍。 刷新令牌是不透明的短字符串,由身份驗證服務器保留。 如果發現用戶的系統受到威脅,它們可以被 auth 服務器無效以撤銷身份驗證。 例如,如果攻擊者獲得訪問/刷新令牌並從不同的 IP 使用它們。 在這種情況下,身份驗證服務器將針對保留的刷新令牌設置一個標志,並且在沒有重新驗證的情況下不會刷新訪問令牌。
ID 令牌和訪問令牌處理
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.