这个应用程序旨在被公司用于管理公司间文件。这些文件可能包含有价值的信息,因此必须是一个安全的应用程序。我正在使用带访问和刷新令牌的Oauth2。访问令牌有效期为15分钟,刷新令牌有效期为1天。
- 15分钟的AT和1天的RT是否合适?如果是,为什么这些值已足够好,或者不够好?
- 对于必须真正安全的应用程序,AT和RT的最佳生命周期是多少?
非常感谢!
注意:以上内容已经翻译完毕,保留原有html标签,仅供参考。
这个应用程序旨在被公司用于管理公司间文件。这些文件可能包含有价值的信息,因此必须是一个安全的应用程序。我正在使用带访问和刷新令牌的Oauth2。访问令牌有效期为15分钟,刷新令牌有效期为1天。
非常感谢!
Gmail与银行账户的区别。
我不确定你的业务属于哪一类。你应该和产品团队开会,解释发生了什么,并让他们决定。如果需要尝试几次才能找到正确的数字也没关系。
但是对于Gmail而言,刷新令牌几乎永远不会过期。我想不起上次需要再次输入我的凭据是什么时候了。
对于银行而言,刷新令牌似乎只有10分钟的有效期,如果你将银行应用程序放到后台,则无法获取新的刷新令牌,因此你会被注销。就像我的美国银行应用程序一样。如果我保持应用程序打开,则应用程序将继续刷新令牌。
显然,刷新令牌的过期时间应该大于平均用户的会话时间。