我有一个程序,与YouTube直播API集成。它在计时器上运行,所以对我来说,每50分钟用刷新令牌获取一个新的访问令牌相对容易。我的问题是,为什么?
当我通过YouTube认证时,它给了我一个刷新令牌。然后,我大约每小时使用这个刷新令牌来获得一个新的访问令牌。如果我有刷新令牌,我总是可以使用它来获得一个新的访问令牌,因为它永远不会过期。因此,我不认为这比从一开始就给我一个访问令牌而不打扰整个刷新令牌系统更安全。
我有一个程序,与YouTube直播API集成。它在计时器上运行,所以对我来说,每50分钟用刷新令牌获取一个新的访问令牌相对容易。我的问题是,为什么?
当我通过YouTube认证时,它给了我一个刷新令牌。然后,我大约每小时使用这个刷新令牌来获得一个新的访问令牌。如果我有刷新令牌,我总是可以使用它来获得一个新的访问令牌,因为它永远不会过期。因此,我不认为这比从一开始就给我一个访问令牌而不打扰整个刷新令牌系统更安全。
当前回答
基本上,刷新令牌用于获取新的访问令牌。
为了清楚地区分这两个令牌并避免混淆,以下是OAuth 2.0授权框架中给出的它们的功能:
Access tokens are issued to third-party clients by an authorization server with the approval of the resource owner. The client uses the access token to access the protected resources hosted by the resource server. Refresh Tokens are credentials used to obtain access tokens. Refresh tokens are issued to the client by the authorization server and are used to obtain a new access token when the current access token becomes invalid or expires, or to obtain additional access tokens with identical or narrower scope.
现在,为了回答你的问题,为什么你仍然被发出一个刷新令牌,而不仅仅是保护一个访问令牌,互联网工程任务组在刷新令牌中提供的主要原因是:
出于安全原因,refresh_token只与授权服务器交换,而access_token则与资源服务器交换。这降低了在“一个访问令牌可以持续一小时,有一个刷新令牌可以持续一年或直到被撤销”和“一个访问令牌可以持续到被撤销而没有刷新令牌”之间存在的长期access_token泄漏的风险。
有关OAuth 2.0流程的更详细和完整的信息,请尝试阅读以下参考资料:
OAuth 2.0流程:服务器端web应用程序 IETF (Internet Engineering Task Force)发布的OAuth 2.0授权框架 为什么OAuth v2同时拥有访问和刷新令牌?
其他回答
基本上,刷新令牌用于获取新的访问令牌。
为了清楚地区分这两个令牌并避免混淆,以下是OAuth 2.0授权框架中给出的它们的功能:
Access tokens are issued to third-party clients by an authorization server with the approval of the resource owner. The client uses the access token to access the protected resources hosted by the resource server. Refresh Tokens are credentials used to obtain access tokens. Refresh tokens are issued to the client by the authorization server and are used to obtain a new access token when the current access token becomes invalid or expires, or to obtain additional access tokens with identical or narrower scope.
现在,为了回答你的问题,为什么你仍然被发出一个刷新令牌,而不仅仅是保护一个访问令牌,互联网工程任务组在刷新令牌中提供的主要原因是:
出于安全原因,refresh_token只与授权服务器交换,而access_token则与资源服务器交换。这降低了在“一个访问令牌可以持续一小时,有一个刷新令牌可以持续一年或直到被撤销”和“一个访问令牌可以持续到被撤销而没有刷新令牌”之间存在的长期access_token泄漏的风险。
有关OAuth 2.0流程的更详细和完整的信息,请尝试阅读以下参考资料:
OAuth 2.0流程:服务器端web应用程序 IETF (Internet Engineering Task Force)发布的OAuth 2.0授权框架 为什么OAuth v2同时拥有访问和刷新令牌?
@Teyam提到SO帖子为什么OAuth v2同时拥有访问和刷新令牌?但我更喜欢另一个答案:https://stackoverflow.com/a/12885823/254109
DR refresh_token不会增加安全性。它的目的是提高可伸缩性和性能。然后,access_token可以存储在一些快速的临时存储中(如内存)。它还允许授权和资源服务器分离。
这是一次很好的学习经历,了解了令牌、刷新令牌和缓存它。然而,(我很好奇,我在这里不给出任何建议)我们可以使用用户登录后返回的代码,当使用微软身份平台时。我们是否可以只存储CodeIdToken,并在需要时使用它来获取新的访问令牌?因为我在想,我们用它来获得访问令牌,那么我们应该每次都用来重新生成访问令牌吗?
...
ResponseType = OpenIdConnectResponseType.CodeIdToken,
...
and
private async Task OnAuthorizationCodeReceived(AuthorizationCodeReceivedNotification context)
{
IConfidentialClientApplication clientApp = MsalAppBuilder.BuildConfidentialClientApplication();
AuthenticationResult result = await clientApp.AcquireTokenByAuthorizationCode(new[] { "User.Read" }, context.Code)
.ExecuteAsync();
}
访问令牌生命周期短。一旦它过期,您需要一个新的访问令牌来访问受保护的资源。一种获取新访问令牌的方法是再次验证资源所有者并获得授权,然后获取访问令牌。然而,这很烦人。
这个问题可以用刷新令牌来解决。它的寿命很长。因此,您可以使用它来获得新的访问令牌,而无需与资源所有者交互。
好吧,你可能会想,用长寿命的代币来获得另一个短寿命的钥匙有什么意义呢?好吧,即使刷新令牌被破坏,攻击者也不能从中获取访问令牌。原因是攻击者需要客户端凭据以及刷新令牌。
因此,访问令牌的生命周期将很短(原因可以在其他答案中找到),以提高安全性。为了避免资源所有者在访问令牌过期时感到厌烦,OAuth使用刷新令牌。
“所以我不认为这比从一开始就给我一个访问令牌,而不打扰整个刷新令牌系统更安全。” 我也纠结于同样的问题。简单的回答是,刷新令牌对于确保凭证没有过期是必要的。
An example may help: I have a database that stores your medical records. You consent to sharing your medical records with your spouse. Your spouse uses their Access Token to read your records from my database. Two weeks from now your spouse checks again on your medical records and the refresh token is used to ensure they still have permission (from the authentication server) to view your records. The refresh token bypasses the need for your spouse to re-enter their credentials (username and password) to the authentication server, but it does ensure they still have legitimacy to access the resource. A never expiring Access Token would not know if you had revoked your spouse's rights to access your medical records.