我对刷新令牌的存在有点困惑。
我知道刷新令牌用于更新访问令牌,并且寿命较短。
例如,我想知道为什么刷新令牌是必要的,以及为什么破坏访问令牌并不一定意味着刷新令牌也受到破坏。
身份验证后,这两个令牌都会附加到 cookie,以便对受保护的路由进行进一步授权。
如果存在访问令牌漏洞的可能性,那么为什么刷新令牌不能也存在漏洞,因为两者都附加到仅使用 HTTPS 和其他安全措施的 cookie?
我在互联网、chatgpt等上进行了搜索
访问令牌的生命周期很短,例如 15 分钟,由客户端根据 API 请求发送,例如发送到
/api刷新令牌的寿命很长,例如 4 小时。并发送到不同的端点,例如
/refresh刷新令牌使 API 凭证(访问令牌)的生命周期较短。如果访问令牌被盗,攻击者无法滥用它来长期访问您的数据。
无论令牌是通过cookie引用还是直接发送,都应该遵循这些OAuth语义。后端凭证应该只发送到需要的地方,并且每种类型的凭证都应该有自己的生命周期。
一些技术堆栈,特别是网站,可能遵循旧的
session ID