日韩久久久精品,亚洲精品久久久久久久久久久,亚洲欧美一区二区三区国产精品 ,一区二区福利

刷新令牌refresh token詳解

張軍 23701 0

在學(xué)習(xí)oauth2.0協(xié)議的時候,對于刷新令牌refresh token感覺很困惑。主要是為啥需要刷新令牌,以及刷新令牌是如何工作的,技術(shù)細(xì)節(jié)是啥?比如通過refresh token可以讓access token永久不過期嗎?

下面就針對這兩個問題進(jìn)行詳細(xì)分析。

為什么需要刷新令牌

刷新令牌的生命周期

1. 授權(quán)服務(wù)頒發(fā)刷新令牌

2. 第三方服務(wù)使用刷新令牌

定時檢測方式和現(xiàn)場發(fā)現(xiàn)方式

3. 授權(quán)服務(wù)校驗刷新令牌

1. 接收刷新令牌請求,驗證基本信息

2. 重新生成訪問令牌

為什么需要刷新令牌

如果access token超時時間很長,比如14天,由于第三方軟件獲取受保護(hù)資源都要帶著access token,這樣access token的攻擊面就比較大。

如果access token超時時間很短,比如1個小時,那其超時之后就需要用戶再次授權(quán),這樣的頻繁授權(quán)導(dǎo)致用戶體驗不好。

引入refresh token,就解決了【access token設(shè)置時間比較常,容易泄露造成安全問題,設(shè)置時間比較短,又需要頻繁讓用戶授權(quán)】的矛盾。

刷新令牌的生命周期

1. 授權(quán)服務(wù)頒發(fā)刷新令牌

第三方軟件得到一個訪問令牌的同時,也會得到一個刷新令牌,refresh_token是與第三方軟件、用戶關(guān)聯(lián)在一起的

2. 第三方服務(wù)使用刷新令牌

什么時候來使用刷新令牌呢?

定時檢測方式

在第三方軟件收到訪問令牌的同時,也會收到訪問令牌的過期時間expires_in。一個設(shè)計良好的第三方應(yīng)用,應(yīng)該將expires_in值保存下來并定時檢測;如果發(fā)現(xiàn)expires_in即將過期,則需要利用refresh_token去重新請求授權(quán)服務(wù),以便獲取新的、有效的訪問令牌。

現(xiàn)場發(fā)現(xiàn)方式

比如第三方軟件訪問受保護(hù)資源的時候,突然收到一個訪問令牌失效的響應(yīng),此時第三方軟件立即使用refresh_token來請求一個訪問令牌,以便繼續(xù)代表用戶使用他的數(shù)據(jù)。

綜合來看的話,定時檢測的方式,需要額外開發(fā)一個定時任務(wù);而“現(xiàn)場”發(fā)現(xiàn),就沒有這種額外的工作量。具體采用哪一種方式,你可以結(jié)合自己的實際情況。不過呢,建議采用定時檢測這種方式,因為它可以帶來“提前量”,以便有更好的主動性,而現(xiàn)場發(fā)現(xiàn)就有點被動了。

3. 授權(quán)服務(wù)校驗刷新令牌

第三方軟件發(fā)送請求

授權(quán)服務(wù)器會先比較grant_type和 refresh_token的值,確認(rèn)是請求刷新令牌的操作

1. 接收刷新令牌請求,驗證基本信息

1)和頒發(fā)訪問令牌前的驗證流程一樣,這里我們也需要驗證第三方軟件是否存在。

在使用刷新令牌的時候,也是需要應(yīng)用傳遞它的app_id和app_sercet的

2)驗證刷新令牌是否存在,要保證傳過來的刷新令牌的合法性。

3)還需要驗證刷新令牌是否屬于該第三方軟件。授權(quán)服務(wù)是將頒發(fā)的刷新令牌與第三方軟件、當(dāng)時的授權(quán)用戶綁定在一起的,因此這里需要判斷該刷新令牌的歸屬合法性。

2. 重新生成訪問令牌

訪問令牌access_token,其與第三方軟件、用戶,還有授權(quán)范圍scope綁定在一起。

在生成access_token的時候,要考慮下面的場景。

1)若access_token未超時,那么進(jìn)行refresh_token有下面幾種方式:

不會改變access_token,但超時時間會刷新,相當(dāng)于續(xù)期access_token

更新access_token的值,我們建議【統(tǒng)一更新access_token的值】

在spring security oauth中,其處理方式是仍返回原access_token及refresh_token,但是并不會續(xù)期,expires_in保持原樣,所以我們看到下面的響應(yīng)

2)若access_token超時了,但是refresh_token未超時,那么更新access_token的值,但是刷新令牌refresh_token呢?推薦刷新令牌是一次性的,使用之后就會失效。

注意:通過refresh_token刷新后,返回來assessToken和refresh_token,但refresh_token過期時間不會重新刷新。

3)若refresh_token也超時了,就需要將刷新令牌和訪問令牌都放棄,相當(dāng)于回到了系統(tǒng)的初始狀態(tài),只能讓用戶小重新授權(quán)了。

謝謝關(guān)注張軍博客


更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主

微信掃碼或搜索:z360901061

微信掃一掃加我為好友

QQ號聯(lián)系: 360901061

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。

【本文對您有幫助就好】

您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描上面二維碼支持博主2元、5元、10元、自定義金額等您想捐的金額吧,站長會非常 感謝您的哦!!!

發(fā)表我的評論
最新評論 總共0條評論
主站蜘蛛池模板: 焉耆| 富源县| 巨鹿县| 循化| 佛冈县| 那坡县| 九龙城区| 渑池县| 花垣县| 凤凰县| 榆林市| 秀山| 灵武市| 萝北县| 湄潭县| 汉阴县| 景谷| 白沙| 根河市| 怀仁县| 巴中市| 陆川县| 古丈县| 昌邑市| 海口市| 饶平县| 青铜峡市| 大竹县| 康马县| 德清县| 从化市| 农安县| 报价| 尉氏县| 青阳县| 祁东县| 巧家县| 株洲市| 徐闻县| 吉首市| 蓝田县|