资讯专栏INFORMATION COLUMN

既生瑜何生亮 access_token VS refresh_token

不知名网友 / 2358人阅读

摘要:泄露了怎么办没关系它很快就会过期。但是在一些安全要求较高的系统中第二次操作是需要重新登录的即使没有过期因为中间有几个小时用户是没有操作的系统猜测用户已离开并关闭会话。

中国有句老话, 既生瑜何生亮, 既然有我周瑜在世, 为什么老天还要一个诸葛亮啊?

同样的, 众所周知, 在 OAuth 2.0 授权协议中, 也有两个令牌 token , 分别是 access_token 和 refresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢?

我们先看下面两者的介绍

  • access_token
    访问令牌, 它是一个用来访问受保护资源的凭证
  • refresh_token
    刷新令牌, 它是一个用来获取access token的凭证

下面是 OAuth 2.0 中的 token 工作流程图

回归主题,

这两个令牌的主要区别如下:

  • access_token 时效短, refresh_token 时效长, 比如 access_token 有效期1个小时, refresh_token 有效期1天

  • access_token 是授权服务器一定颁发的, 而 refresh_token 却是可选的

  • access_token 过期后, 可以使用 refresh_token 重新获取, 而 refresh_token 过期后就只能重新授权了, 也没有 refresh_refresh_token

  • access_token 和 资源服务器和授权服务器交互, 而 refresh_token 只和 授权服务器交互

  • access_token 颁发后可以直接使用, 而使用 refresh_token 需要客户端秘钥 client_secret

接下来, 我们继续看两个令牌在下面场景的应用, 假设有一个用户需要在后台管理界面上操作6个小时。

1 颁发一个有效性很长的 access_token, 比如 6 个小时, 或者可以更长, 这样用户只需要刚开始登录一次, access_token 可以一直使用, 直到 access_token 过期, 然后重复, 这种是不安全的, access_token 的时效太长, 也就失去了本身的意义。

2 颁发一个1小时有效期的 access_token, 过期后重新登录授权, 这样用户需要登录 6 次, 安全倒是有了, 但是用户体验极差

3 颁发1小时有效期的 access_token 和6小时有效期的 refresh_token, 当 access_token 过期后(或者快要过期的时候), 使用 refresh_token 获取一个新的 access_token, 直到 refresh_token 过期, 用户重新登录, 这样整个过程中,用户只需要登录一次, 用户体验好。

access_token 泄露了怎么办? 没关系, 它很快就会过期。
refresh_token 泄露了怎么办? 没关系, 使用 refresh_token 是需要客户端秘钥 client_secret 的。

4 用户登录后, 在后台管理页面上操作1个小时后, 离开了一段时间, 然后 5个小时后, 回到管理页面继续操作, 此时 refresh_token 有效期6个小时, 一直没有过期, 也就可以换取新的 access_token, 用户在这个过程中, 可以不用重复登录。但是在一些安全要求较高的系统中, 第二次操作是需要重新登录的, 即使 refresh_token 没有过期, 因为中间有几个小时, 用户是没有操作的, 系统猜测用户已离开, 并关闭会话。

所以, 得出的结论是, refresh_token 是一个很巧妙地设计, 提升了用户体验的同时, 又保证了安全性。

另外, 在 OAuth 2.0 安全最佳实践中, 推荐 refresh_token 是一次性的, 什么意思呢? 使用 refresh_token 获取 access_token 时, 同时会返回一个 新的 refresh_token, 之前的 refresh_token 就会失效, 但是两个 refresh_token 的绝对过期时间是一样的, 所以不会存在 refresh_token 快过期就获取一个新的, 然后重复,永不过期的情况。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/125680.html

相关文章

  • webpack-loader 之 url-loader

    摘要:既生瑜,何生亮人家当然不是以卖萌为生的,卖萌不可耻,但是是有它的用处的。对未设置或者小于设置的图片进行转换,以的格式被的所使用而对于大于的图片用进行解析。配置工欲善其事必先利其器。 url-loader vs file-loader 既生瑜,何生亮? 人家当然不是以卖萌为生的,卖萌不可耻,但是url-loader是有它的用处的。url-loader对未设置或者小于limit设置的图片进...

    zxhaaa 评论0 收藏0
  • OAuth2 学习笔记

    摘要:而在这背后则是建立在基础之上。简化模式的授权许可简化模式的授权更加适用于移动端的以及应用,因为他们的安全性并不能够得到保证。除此之外,服务也不会对应用的做唯一性表示验证,依赖回调的地址。 showImg(https://segmentfault.com/img/bVvTab); 在日常的网站中,我们经常会看见一些来自社交网站的登录按钮,类似使用facebook,twitter登录等。而...

    用户83 评论0 收藏0
  • 微信公众号授权

    摘要:重新整理做过的功能,以及过程遇到问题,温故而知新官方文档一准备工作接入配置修改添加业务域名网页授权域名授权回调域名不加协议头绑定时微信要求将文件上传根目录,需要将文件添加到我项目许可中确保文件可被访问,否则绑定不通过公众平台参数二授权登录简 重新整理做过的功能,以及过程遇到问题,温故而知新官方文档 一 准备工作 (a.接入 b.配置) a) 修改/添加 业务域名、网页授权域名; 授权...

    tuomao 评论0 收藏0
  • 调用微信接口token的问题

    摘要:相信大家对微信公众号,小程序也都不陌生,那么在开发公众号,小程序的时候需要调用到微信的接口,固然就会遇到的问题,有哪些问题,以及怎么解决的呢,我们继续往下看。刷新的方法相关资料微信 前言 微信的影响力众所周知,越来越多的人也都离不开它,工作,生活,社交的好帮手。相信大家对微信公众号,小程序也都不陌生,那么在开发公众号,小程序的时候需要调用到微信的接口,固然就会遇到token的问题,有哪...

    phoenixsky 评论0 收藏0
  • 调用微信接口token的问题

    摘要:相信大家对微信公众号,小程序也都不陌生,那么在开发公众号,小程序的时候需要调用到微信的接口,固然就会遇到的问题,有哪些问题,以及怎么解决的呢,我们继续往下看。刷新的方法相关资料微信 前言 微信的影响力众所周知,越来越多的人也都离不开它,工作,生活,社交的好帮手。相信大家对微信公众号,小程序也都不陌生,那么在开发公众号,小程序的时候需要调用到微信的接口,固然就会遇到token的问题,有哪...

    RaoMeng 评论0 收藏0

发表评论

0条评论

不知名网友

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<