V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cc959798
V2EX  ›  PHP

为什么 OAuth2.0 要设计 refresh token

  •  1
     
  •   cc959798 · 2018-07-14 21:15:21 +08:00 · 5082 次点击
    这是一个创建于 2084 天前的主题,其中的信息可能已经有所发展或是发生改变。

    refresh token 用来请求 access token,access token 过期时间变得非常短暂,网上的答案都是说增强了安全性,但是具体没说怎么增强,请问添加 refresh token 具体意义是什么

    第 1 条附言  ·  2018-07-16 12:46:19 +08:00
    感觉大多数人也是似懂非懂的哈
    11 条回复    2018-07-15 10:11:28 +08:00
    stevenhawking
        1
    stevenhawking  
       2018-07-14 21:19:46 +08:00
    因为短了所以安全, 添加 refresh_token 的意义就在于让他变得更安全
    zwh2698
        2
    zwh2698  
       2018-07-14 21:27:29 +08:00 via Android
    如果一个 token 长期有效,你怕不怕别人偷你家东西?你设置失效机制,但是你活没完,怎么办申请延期,可是如果谁都能申请延期那还有什么意义,所以需要身份证
    hu5ky
        3
    hu5ky  
       2018-07-14 21:28:56 +08:00
    Acebiu
        4
    Acebiu  
       2018-07-14 22:06:40 +08:00
    panpanpan
        5
    panpanpan  
       2018-07-14 23:15:50 +08:00 via iPhone
    access token 是给客户端的,有泄露的风险,refersh token 是给服务端的,不能暴露给用户。
    HunterPan
        6
    HunterPan  
       2018-07-15 00:05:27 +08:00
    @panpanpan 你这个说发也解决不了泄露问题的。
    Lax
        7
    Lax  
       2018-07-15 00:17:12 +08:00
    @HunterPan 把泄漏分两个阶段看

    1,从 token 泄漏途径方面,确实没有减少泄漏的机会
    2,当 token 已经泄漏,更短的失效时间能够减少损失。
    leekafai
        8
    leekafai  
       2018-07-15 00:24:55 +08:00
    scope=时间+范围
    doubleflower
        9
    doubleflower  
       2018-07-15 09:05:48 +08:00 via Android
    有些服务 refresh token 也会很快过期,比如 inoreader 家的 API
    cc959798
        10
    cc959798  
    OP
       2018-07-15 09:53:39 +08:00
    @zwh2698 但是 refersh token 也是存在客户端,也可以通过获得 refersh token 来再次窃取 access token
    whileFalse
        11
    whileFalse  
       2018-07-15 10:11:28 +08:00
    @cc959798 但是如果有需要的话,refresh_token 也可以存在服务端。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5352 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 08:34 · PVG 16:34 · LAX 01:34 · JFK 04:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.