我有一个与YouTube直播API集成的程序。它运行定时器,因此相对容易编程,在50分钟内获取新的Access Token和Refresh Token。我的问题是,为什么这样做?
当我通过YouTube进行身份验证时,它提供了一个Refresh Token。然后,我使用该Refresh Token每小时左右获取一个新的Access Token。如果我拥有Refresh Token,我可以始终使用它来获取新的Access Token,因为它永远不会过期。因此,我不明白为什么这比一开始就给我一个Access Token并且不费力地使用整个Refresh Token系统更加安全。
刷新令牌基本上用于获取新的访问令牌。
为了清晰区分这两个令牌并避免混淆,在OAuth 2.0授权框架中给出了它们的功能:
- 访问令牌是由授权服务器经资源所有者批准向第三方客户端发放的。客户端使用访问令牌来访问资源服务器上托管的受保护资源。
- 刷新令牌是用于获取访问令牌的凭据。授权服务器向客户端发放刷新令牌,用于在当前访问令牌无效或过期时获取新的访问令牌,或者以相同或更窄的范围获取其他访问令牌。
现在回答您的问题,为何您仍然会被发放一个刷新令牌而不是安全地获取访问令牌,由Internet Engineering Task Force在刷新令牌中提供的主要原因是:
有一个安全原因,
刷新令牌只会与授权服务器交换,而访问令牌会与资源服务器交换。这可以减轻“一个有效期为一小时的访问令牌和一个有效期为一年或撤销后依然有效的刷新令牌”与“一个没有刷新令牌仍然有效的访问令牌”的风险。
有关OAuth 2.0流程的更详细和完整信息,请尝试阅读以下参考资料:
那么为什么需要一个刷新令牌呢?如果目的是为了不打扰用户进行权限请求,那么为什么客户端不能简单地说“嘿,授权服务器,我要另一个访问令牌。现在!”或者“嘿,授权服务器,这是我的过期令牌,给我一个新的!”? 那么,刷新令牌作为一种“证明”,证明客户端在某个原始时间点被用户授予了访问权限。 这个“证明”以刷新令牌由授权服务器数字签名的形式存在。 通过客户端呈现刷新令牌,授权服务器可以验证客户端在过去的某个时刻获得了用户的许可,而客户端无需再次提示用户。
然而,这引发了一个问题:“如果刷新令牌泄漏或被盗,或者简单地由恶意客户端应用程序保留而未经用户请求删除,会发生什么情况?攻击者不能继续使用刷新令牌无限期地(或直到其过期)获得有效的访问令牌吗?这个问题导致讨论我提到的第二个目的,即刷新令牌有助于提高安全性。
访问令牌的问题在于,一旦获取到了访问令牌,它们只会被呈现给资源服务器(例如 YouTube)。因此,如果访问令牌被盗或者被篡改,怎样告诉资源服务器不再信任该令牌呢?实际上这是无法做到的。唯一的方法是更改授权服务器上的私钥签名(最初签署该令牌的密钥)。我想这样做很不方便,在某些情况下(如Auth0),也得不到支持。另一方面,刷新令牌需要频繁呈现给授权服务器。因此,如果一个刷新令牌遭到破坏,那么撤销或拒绝整个刷新令牌就很容易,而不必更改任何签名密钥。
这里是来自OAuth 2.0文档的信息。
刷新令牌用于获取新的访问令牌,当当前访问令牌无效或已过期时,或者为了获得具有相同或更窄范围的额外访问令牌(访问令牌的生命周期可能比资源所有者授权的权限短且权限更少)。
+--------+ +---------------+
| |--(A)------- Authorization Grant --------->| |
| | | |
| |<-(B)----------- Access Token -------------| |
| | & Refresh Token | |
| | | |
| | +----------+ | |
| |--(C)---- Access Token ---->| | | |
| | | | | |
| |<-(D)- Protected Resource --| Resource | | Authorization |
| Client | | Server | | Server |
| |--(E)---- Access Token ---->| | | |
| | | | | |
| |<-(F)- Invalid Token Error -| | | |
| | +----------+ | |
| | | |
| |--(G)----------- Refresh Token ----------->| |
| | | |
| |<-(H)----------- Access Token -------------| |
+--------+ & Optional Refresh Token +---------------+
(A) 客户端通过向授权服务器进行身份验证并呈现授权授予来请求访问令牌。
(B) 授权服务器对客户端进行身份验证并验证授权授予,如果有效,则发出访问令牌和刷新令牌。
(C) 客户端通过呈现访问令牌向资源服务器请求受保护的资源。
(D) 资源服务器验证访问令牌,如果有效,则提供请求。
(E) 步骤(C)和(D)会重复直到访问令牌过期。如果客户端知道访问令牌已过期,则跳到步骤(G);否则,它会发出另一个受保护的资源请求。
(F) 由于访问令牌无效,资源服务器返回无效令牌错误。
(G) 客户端通过向授权服务器进行身份验证并呈现刷新令牌来请求新的访问令牌。客户端的身份验证要求基于客户端类型和授权服务器策略。
(H) 授权服务器对客户端进行身份验证并验证刷新令牌,如果有效,则发出新的访问令牌(以及可选的新刷新令牌)。
123,重新发行新的访问令牌后,我会收到123作为新访问令牌的值吗? - undefined仅使用访问令牌比同时使用访问令牌和刷新令牌更加危险。
例如,您仅使用访问令牌设置"100天"到期日期,但某一天,访问令牌被黑客窃取。现在,黑客有最多100天的时间自由地将访问令牌用于恶意目的。
现在,您同时使用访问令牌设置"60分钟"到期日期和刷新令牌设置"100天"到期日期,但某一天,访问令牌被黑客窃取。现在,黑客有最多60分钟的时间自由地将访问令牌用于恶意目的的机会要小得多。
现在,你可能会想如果刷新令牌被盗了怎么办。实际上,如果刷新令牌被黑客盗取,黑客仍然有最多100天的时间自由使用刷新令牌进行不良目的。 但是刷新令牌被盗的概率要比访问令牌被盗的概率小得多,因为刷新令牌每60分钟只能用一次来刷新访问令牌(获取一个新的访问令牌),而访问令牌则会每次访问资源时使用,这是更频繁的。
所以,最好同时使用访问令牌和刷新令牌。
@Teyam提到了一个关于OAuth v2为什么有访问令牌和刷新令牌的Stack Overflow帖子,但我更倾向于那里的另一个答案:https://dev59.com/5nA75IYBdhLWcg3wFEsI#12885823
TL;DR refresh_token并不会增加安全性。它的目的是为了提高可扩展性和性能。所以,access_token 可以仅存储在一些快速临时存储(如内存)中。它还允许授权服务器和资源服务器分离。
access_token 更频繁使用,撤销功能不是很重要,因为它们的生命周期很短。
refresh_token 使用较少,撤销功能至关重要,因为它们可以用于生成新的access_token。
验证签名令牌的成本较低,但撤销难度较大。
验证存储在数据库中的令牌的成本高,但可以轻松撤销。
因此,签名密钥可以用作access_token,以提高性能。
存储在数据库中的密钥可以用作refresh_token,以便轻松撤销。
如果没有refresh_token,很难找到一种提供低成本验证和易于撤销的机制。因此,refresh_token存在是出于性能原因。
refresh_token 模式可以使OAuth服务器保持控制,因此当出现像 access_token 和 refresh_token 泄露等不良情况时,服务器可以进行干预。access_token 和 refresh_token 被黑客获取,access_token 将很快过期,黑客可能会尝试刷新令牌,但是服务器现在有能力/控制来不再发放 access_token(考虑到服务器已经获取了泄漏的信息)。请注意保留HTML标签。访问令牌的生命周期很短。一旦过期,您需要一个新的访问令牌才能访问受保护的资源。一种获取新访问令牌的方法是再次验证资源所有者并获取授权授予,然后获取访问令牌。但是,这将很麻烦。
使用刷新令牌可以解决这个问题。它的生命周期很长。因此,您可以使用它来获取新的访问令牌,而无需与资源所有者交互。
好吧,您可能会想,拥有长寿命的令牌以获取另一个寿命短暂的密钥有什么意义。即使刷新令牌被攻击者攻破,攻击者也不能从中获取访问令牌。原因是攻击者需要客户端凭据以及该刷新令牌。
因此,为了提高安全性,访问令牌的生命周期很短(其他答案中提供了原因)。为避免每次访问令牌过期时都让资源所有者感到烦恼,OAuth 使用刷新令牌。