security - 如果 OAuth2 访问令牌可以被盗,为什么假设刷新令牌也可以被盗是不安全的?
问题描述
如果我们提出一个问题“为什么不使用未过期的访问令牌,而不用刷新令牌?”,答案可能是“因为如果访问令牌被盗,恶意行为者有 X 时间(生命周期所述未过期的访问令牌)代表为其生成令牌的用户执行恶意行为。” 因此,据我所知,解决问题的方法是通过成功的身份验证,向用户发送一个短期访问令牌的令牌对,以及一个长期存在的访问令牌。刷新令牌。我不明白这不仅仅是为了规避最初的问题。问题显然在于访问令牌被盗的理论上的可能性。因此,如果它曾经是,它的有效性很快就会到期,因此恶意行为者很长时间都无法被验证。在这种假设的情况下,如果谁能窃取访问令牌,为什么他们不能窃取刷新令牌呢?我得到的通常答案是:
- “您必须将刷新令牌存储在安全的地方。” 这对我来说毫无意义。为什么我不将访问令牌和刷新令牌都存储在“安全的地方”?
- “访问令牌被盗的可能性更高,因为它比刷新令牌使用得更频繁”。在这种情况下,我怀疑“偷窃”的意思是“嗅探”,就像中间人攻击一样。关于这个,我有几个子问题。1.为什么适用?HTTPS 标头/正文不是加密的吗?如果在这个问题中假设 HTTP,我们为什么还要谈论防止漏洞?这很好地导致了:2.在实践中,这种对请求的“嗅探”是什么样的?为什么恶意行为者不能“嗅探”每一个发送的请求,并最终找到刷新令牌?
- “在微服务环境中,访问令牌发送给所有服务,而刷新令牌只发送给授权服务/服务器。 ”这听起来是最有效的,但我还有一个问题。这有什么区别?听起来授权服务器被认为比其他服务器具有更高的安全性?我想只有在采用统计方法时才有意义,因为要窃取访问令牌,需要利用任何 X 服务器,而要窃取刷新令牌,只需要利用一个服务器。虽然这只是我的假设,并且不知何故不符合这个安全概念的要点。此外,这个概念似乎不是为了解决服务器问题而创建的。
我想我的问题是:
“如果我们假设访问令牌的概念、使用它或它的存储方式等存在任何固有漏洞……是什么让刷新令牌不易受到这些漏洞的影响?”
解决方案
虽然访问令牌和“静止”刷新令牌的安全属性确实相同,但区别在于“传输中”刷新令牌比访问令牌更容易保护,因为它的使用方式是,因为下面解释。
首先,访问令牌只发送到资源服务器,刷新令牌只用于单个授权服务器。在许多情况下,资源服务器被认为不太受信任(授权服务器 - 按照设计 - 客户端的受信任组件),正如您所提到的,其中可能有很多可能具有适用于它们的不同级别的安全性。
其次,流向授权服务器的刷新令牌流可以使用刷新令牌的“滚动刷新”,这意味着在访问令牌刷新时,也会发出一个新的刷新令牌,这会使旧的刷新令牌无效。这是授权服务器的一种非常常见的实现模式。
最后,也许有点长镜头,访问令牌用于比刷新令牌更多的请求,因此适用于传输层(定时攻击)的任何漏洞的机会都会成比例地增加。
推荐阅读
- symfony - 以 symfony 形式预设集合,只保存不清空
- python - 如何将列表转换为字典并为键添加随机值
- c# - 无法从程序集“Microsoft.AspNetCore.Mvc.Formatters.Json”加载类型“Microsoft.AspNetCore.Mvc.MvcJsonOptions”,
- npm - 如何在私有 npm 注册表上托管 TS 声明文件包
- database - 为什么函数 weekOfYear(2019.12.31) 返回 1?
- javascript - 增加日期并在日期字段中指定为最大值
- javascript - onClick 不适用于自定义创建的元素
- javascript - 如何在没有表单的情况下使我的重置按钮在 HTML 中工作?
- kibana - Kibana timelion,不同端点的请求时间比较
- c++ - 为什么 C++20 不允许声明嵌套在类中的概念?