Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
根据oAuth2 规范,是否允许每个资源所有者同时拥有多个有效令牌?
出于安全考虑,每个资源所有者(即:用户)只有 1 个活动令牌可用(重放攻击的暴露区域较少)似乎是合适的。这意味着当为资源所有者请求新的访问令牌时,现有/旧的(如果存在)应该被撤销。
我找不到任何关于这种机制的提及。有人可以澄清吗?谢谢。
我在标准中没有看到这样的限制。拥有多个令牌绝对有意义,甚至可以提高具有不同范围的令牌的安全性。考虑一个场景,当客户端开始具有一些基本权限(例如只读访问)并要求提升权限以进行敏感操作(例如写访问)。这与 linux/win 系统中的“以 root/admin 身份运行”非常相似。
因此,如果单个令牌被盗,拥有具有不同范围的多个令牌可以使系统更加安全。