authentication - 为什么要撤销访问令牌?
问题描述
我不明白您为什么要在注销时撤销访问令牌。我的意思是,从安全角度来看,您应该获得什么,而当您浏览应用程序时,有一个 Refresh 令牌用于获取新的访问令牌?当有一个刷新令牌可供使用计算机并浏览到应用程序的任何人使用时,我从安全角度看不到利润。
解决方案
虽然 OAuth 2.0 的概念基于未撤销的短期访问令牌,但该规则有例外,并且有一个协议规范适用于令牌撤销,RFC 7009 OAuth 2.0 令牌撤销https://datatracker.ietf.org/文档/html/rfc7009。
撤销访问令牌时,还应确保同时撤销刷新令牌(规范规定撤销刷新令牌也会撤销关联的访问令牌)。当令牌长期存在并且怀疑存在某些违规、未经授权的第三方令牌访问或其他令牌泄漏时,这一点变得更加重要。
推荐阅读
- reactjs - 如何使用 redux-toolkit 访问 redux 中另一个切片的状态?
- windows - 如何在powershell中递归截断文件名?
- javascript - 显示使用 OpenLayers 创建的最后一个多边形
- visual-studio-code - VS Code 找不到 Arduino IDE 路径
- python-3.x - 用beautifulsoup提取没有标签的文本
- javascript - 来自其他站点时如何自动打开选项卡?
- android - Flutter:打开 Facebook Messenger 时出现 ERR_UNKOWN_URL_SCHEME
- python - 对于每个循环,更新变量
- apache - 如何正确使用 Apache 的 mod_env 模块来修改 PATH?
- c# - HRESULT 异常:尝试读取 Airpod pro 电池时出现 0xD0000033