我有一个由Google批准的OAuth2客户端,可以提供具备所需权限的用户帐户的离线访问。我的后端应用程序使用刷新令牌来在需要时刷新访问令牌。 最近,我们注意到我们的令牌刷新尝试遇到了来自Google的错误: { "error" : "invalid_grant", "er...
我很难理解在使用JWT的不安全客户端(例如浏览器、手机等)时如何使用刷新令牌。 对我来说,认为如果JWT被攻击者窃取,那么刷新令牌也会被攻击者窃取是天真的。 只要刷新令牌有效,攻击者就拥有了无限制的JWT来源。即使您失效使用过的刷新令牌,如果攻击者实现了稍微更为激进的刷新策略,他们仍然具有...
我想在浏览器中存储OAuth刷新令牌。我之所以想将其存储在那里,是为了让应用程序可以刷新访问令牌并让用户继续他们的会话而不受干扰。我还想消除任何种类的缓存在服务器上存储令牌的需要,从而使其具有状态。 有人告诉我,在浏览器中存储刷新令牌是不安全的。 我认为这样做没问题,因为: 令牌将存储...
在最近几天,我一直在阅读与刷新和访问令牌相关的身份验证问题,但这是我找不到答案的事情之一。假设发送了一个过期的访问令牌。后端应该自动刷新它(如果提供了刷新令牌),还是只能在刷新端点上进行刷新? 例如,考虑以下两个身份验证流程: 自动刷新 0. 用户使用用户名和密码进行身份验证。API返回...
我有一个像这样的政策 var retryPolicy = Policy .Handle<HttpRequestException>() .OrResult<HttpResponseMessage>(resp => resp.StatusCode ...
我已经从Azure AD V2.0端点获取了access_token来调用Graph API。但是,我需要代表用户在API中执行一些操作。因此,当我的access_token过期时,我需要refresh_token来更新它。 在ASP .Net Core中使用MSAL有没有获取Refresh...
我正在使用AWS的Cognito进行测试。目前,我可以像这样获取我的IdToken、AccessToken和RefreshToken: $ aws cognito-idp admin-initiate-auth --user-pool-id us-east-1_XXXXXXXX --clie...
在单页面应用程序(JavaScript)使用OIDC服务器进行身份验证的情况下,保持会话活动(在令牌过期后获取更多令牌)的标准和推荐方法是使用HttpOnly Cookie并在iframe中执行Silent Renew。很好,因为浏览器无法保持秘密,所以没有涉及刷新令牌。 现在似乎浏览器将防...
在使用OAuth 2.0 JWT刷新令牌实现时,我遇到了一个问题,那就是很难在Web浏览器客户端上实现稳定的刷新策略。多个标签页可能会导致请求竞争条件。 RFC没有明确提到将刷新令牌仅在服务器端设置为有效,并且仅针对一次(第一次)请求,但我认为当它们被使用时使刷新令牌无效是一个好主意。 已...
我正在使用ReactJS开发一个管理应用程序,其中使用Redux进行状态管理。当用户登录时,我的应用程序会获取access_token和refresh_token。access_token在5分钟后会过期,此时token将变得无效,无法进行任何API端点请求。 我想知道如何使用refresh_...