5

DotNetOpenAuth每当我们使用new 刷新我们的授权Oauth2.0 RefreshToken时,都会在响应中包含。由于它RefreshToken本身是一个长期存在的令牌,我们RefreshToken在每次请求后得到一个新令牌的原因是什么?

处理这个新的 RefreshToken 的最佳方法是什么,我们应该在RefreshToken每次刷新授权时存储新的,还是应该保留旧的RefreshToken而忽略新的?

另请参阅此示例代码以提供一些上下文。

var serviceDescription = new AuthorizationServerDescription
{
    ProtocolVersion = ProtocolVersion.V20,
    TokenEndpoint = new Uri(Constants.TokenEndPoint)
};

var client = new WebServerClient(serviceDescription, 
    Constants.ClientId, Constants.ClientSecret);

var authorization = new AuthorizationState() 
{ 
    //Insert our stored RefreshToken
    RefreshToken = TokenStore.Instance.RefreshToken 
};

if (client.RefreshAuthorization(authorization))
{
    //Store or ignore the new RefreshToken?
    var NewRefreshToken = authorization.RefreshToken;
}
4

1 回答 1

4

您在响应中返回的刷新令牌可能包含在响应中,也可能不包含在响应中。如果存在,规范说您必须使用新的刷新令牌来进行所有未来的令牌刷新。如果您再次使用旧的,授权服务器可能会完全撤销授权。

这样做的原因,根据我对工作组讨论的理解,是通过定期更改客户端上的刷新令牌,授权服务器可以检测刷新令牌是否已意外泄露给第三方。由于批准的客户端和第 3 方都将使用相同的刷新令牌,如果一方收到新的刷新令牌,另一方仍将使用旧的刷新令牌。当旧的出现时,有两个客户端使用相同的刷新令牌这一事实会提示身份验证服务器存在安全漏洞,并且可能会关闭它。

于 2013-03-09T04:49:21.160 回答