0

我正在开发一个使用基于令牌的身份验证系统的应用程序,用户提供他们的用户名/密码并收到一个令牌作为回报(令牌也保存到数据库中)。然后后续请求将包含此令牌作为自定义标头,我们可以使用它来识别用户。这一切都很好。

现在,如果用户 3 天没有登录,我们会过期令牌。我正在阅读一些关于 OAuth 中的刷新令牌的信息,我想知道是否可以以某种方式实现类似的东西。即在提供身份验证令牌时,我还提供了一个刷新令牌,以后可以使用它来请求新的身份验证令牌。不过,就安全性而言,这似乎与一开始就永远不会使用户的身份验证令牌过期非常相似。我是否应该发送带有刷新令牌的附加信息来验证用户?

4

1 回答 1

-1

在 OAuth2 中,资源服务器和授权服务器往往是不一样的。

当发出访问令牌和刷新令牌时,刷新令牌会发送回客户端。客户端需要对自己进行身份验证(使用客户端 ID 和客户端密码)才能使用刷新令牌。资源服务器永远不会看到刷新令牌。

此外,访问令牌不会存储在服务器端,因为它们的生命周期有限。刷新令牌被存储,因此可以被撤销。

于 2015-10-22T15:15:12.830 回答