关于aacessToken的超时机制安全性问题

来源：5-7 实现登录接口和刷新令牌接口(下)

weixin_慕神6352274

2022-11-16

accessToken设置较短的有效时间是为了保证即便token暴露, 攻击者拿到时可能已经过期或只能在短时间内获取或篡改数据, 降低危险性. 有个问题是, accessToken如果暴露, 那refreshToken应该也会暴露吧, accessToken失效后, 攻击者通过refreshToken获取新的accessToken同样可以持续发起攻击啊, 那这样如何保证安全性呢?

写回答

1回答

接灰的电子产品

2022-11-16

access token 在 http 头中，如果不是 SSL 链接就会是明文的，而 refresh token 则不会在业务请求中携带。所以 access token 更容易泄露。refresh token 一般要存在较安全的地方，比如客户端的钥匙链等安全存储位置。另外还有其他安全策略一起来保证安全，安全是一个系统，不是单一的维度

Spring Security+OAuth2 精讲，打造企业级认证与授权

一站式掌握主流安全框架与行业解决方案，从容应对各种安全难题。

1042 学习 · 316 问题

查看课程

相似问题

关于授权码登录

回答 1

关于hash次数和盐值存储在数据库中的问题

回答 1

关于多个安全配置用户不能共用问题

回答 4

多安全配置，表单登录不通过！~

回答 1

session和token保持会话机制有什么差别？

回答 1

打开慕课网App查看更多内容