场景:您拥有一个有效期更长的刷新令牌和一个有效期较短的访问令牌。
设置:客户端、应用服务器和身份验证服务器。
客户端存储访问令牌。
应用服务器存储刷新令牌。
身份验证服务器分发刷新+访问令牌。
其中一个优点是,被盗的访问令牌只能在其有效期内使用。
假设黑客窃取了有效期为30分钟的访问令牌。当黑客在30分钟后使用有效但已过期的被盗访问令牌发出请求时,应用服务器会使用刷新令牌刷新它,从而黑客获得新的有效且未过期的访问令牌。
如何防止这种情况发生?
设置:客户端、应用服务器和身份验证服务器。
客户端存储访问令牌。
应用服务器存储刷新令牌。
身份验证服务器分发刷新+访问令牌。
其中一个优点是,被盗的访问令牌只能在其有效期内使用。
假设黑客窃取了有效期为30分钟的访问令牌。当黑客在30分钟后使用有效但已过期的被盗访问令牌发出请求时,应用服务器会使用刷新令牌刷新它,从而黑客获得新的有效且未过期的访问令牌。
如何防止这种情况发生?
假设黑客窃取了有效期为30分钟的访问令牌。当黑客在30分钟后使用有效但过期的被盗访问令牌发出请求时,应用服务器会使用刷新令牌来刷新它,从而使黑客获得一个新的有效且未过期的访问令牌。- Pradip Kachhadiya