我在谷歌上搜索了很多关于如何保护refresh_token不被黑客攻击的信息,因为它将存储在浏览器的local-storage/cookie中,所以黑客可以轻松窃取这些令牌,但我找不到一个合适的答案,所以我来到这里。
我知道access_token会在短时间内过期,我们应该使用refresh_token来获取新的access_token。但是如果黑客窃取了refresh_token,他可以作为登录用户长时间停留在系统中,对吗?
有些人说,你可以使用client_id和client_secret来保护它,但黑客将访问API的端点,其中包含client_id和client_secret。因此,黑客可以轻松获得新的access_token。
因此,我找不到保护黑客免于获取浏览器的local-storage/cookie中的refresh_token的方法。
请问有人能够指导我如何保护refresh_token不被黑客从浏览器的local-storage/cookie中获取吗?
我知道access_token会在短时间内过期,我们应该使用refresh_token来获取新的access_token。但是如果黑客窃取了refresh_token,他可以作为登录用户长时间停留在系统中,对吗?
有些人说,你可以使用client_id和client_secret来保护它,但黑客将访问API的端点,其中包含client_id和client_secret。因此,黑客可以轻松获得新的access_token。
因此,我找不到保护黑客免于获取浏览器的local-storage/cookie中的refresh_token的方法。
请问有人能够指导我如何保护refresh_token不被黑客从浏览器的local-storage/cookie中获取吗?