我一直在阅读有关访问令牌和刷新令牌的概念。我明白为什么刷新令牌可能有助于防止重新登录并发布短期访问令牌以减少攻击向量。
我无法理解如果过期的访问令牌被泄露并用于向服务器发出请求会发生什么。在这种情况下,服务器是否会因为令牌已过期而有刷新令牌而仅更新令牌?
有人可以帮我理解为什么这不是问题吗?
当您的授权服务器生成过期的访问令牌时,它不会验证该请求。它不会生成刷新令牌。
当访问令牌过期时,您可以使用刷新令牌生成新的访问令牌。访问令牌的生命周期很短,因此可以在稍微不安全的环境中传送它们。
您的刷新令牌受到安全环境的保护,不会(不需要)像访问令牌那样被传送。
不,您不应该获取新的访问令牌/刷新令牌除非您拥有有效的刷新令牌。
因此,仅使用访问令牌,您将保留访问权限,但最终会失去它。