Почему токен доступа больше не истекает?

Question

Почему токен доступа больше не истекает?

Я пытаюсь реализовать Oauth2 с Jwt в моем приложении. У меня есть одно сомнение, почему мне нужно меньшее время истечения, чтобы access_token и более длительное время истечения refresh_token,

Я хочу сказать, что могу иметь access_token с более длительным сроком годности, и я бы защитить access_token как будто я защищаю refresh_tokenнет необходимости refresh_token только. Имеет ли это смысл?

Так что, если я игнорирую refresh_token из своего приложения, столкнусь ли я с проблемой юзабилити или с безопасностью?

0

spring spring-security jwt refresh-token

Источник

user2534236 04 янв '19 в 08:45

1 ответ

Другие вопросы по тегам spring spring-security jwt refresh-token

user5277820 04 янв '19 в 10:31 2019-01-04 10:31 · Answer 1 · 2019-01-04 10:31

См. RFC 6749:

1,5. Обновить токен
Токены обновления - это учетные данные, используемые для получения токенов доступа. Токены обновления выдаются клиенту сервером авторизации и используются для получения нового токена доступа, когда текущий токен доступа становится недействительным или срок его действия, или для получения дополнительных токенов доступа с идентичной или более узкой областью действия (токены доступа могут иметь более короткий срок службы и меньше разрешений, чем разрешено владельцем ресурса). Выдача токена обновления необязательна по усмотрению сервера авторизации. Если сервер авторизации выдает токен обновления, он включается при выдаче токена доступа (т. Е. Шаг (D) на рисунке 1).
Токен обновления - это строка, представляющая авторизацию, предоставленную клиенту владельцем ресурса. Строка обычно непрозрачна для клиента. Маркер обозначает идентификатор, используемый для получения информации об авторизации. В отличие от токенов доступа, токены обновления предназначены для использования только с серверами авторизации и никогда не отправляются на серверы ресурсов.