Чем опасен более длинный токен обновления на сервере авторизации?

Question

Чем опасен более длинный токен обновления на сервере авторизации?

У нас есть клиентское приложение, взаимодействующее с приложением с аутентификацией oauth. Мы не хотим аутентифицировать пользователя каждый раз, когда истечет срок действия токена обновления. Поэтому мы подумали, что можем оставить срок действия токена обновления до 1 года. Какова угроза безопасности, если у нас настроен этот тип с более длинными токенами обновления

0

oauth-2.0 oauth-refresh-token

Источник

user3610718 10 июн '22 в 20:45

1 ответ

Другие вопросы по тегам oauth-2.0 oauth-refresh-token

user9926179 12 июн '22 в 01:37 2022-06-12 01:37 · Answer 1 · 2022-06-12 01:37

Какова угроза безопасности, если у нас настроен этот тип с более длинными токенами обновления

Жетоны обновления — это токены на предъявителя, поэтому любой, кто их держит, может использовать их для получения новогоaccess tokenизauthorization serverпока не истечет. Следовательно,refresh tokenкоторый имеет очень долгий срок службы, теоретически может дать владельцу токена бесконечную возможность получить новый токен доступа. Затем вновь полученный токен доступа можно использовать для доступа к защищенным ресурсам в любое время. Носителем токена обновления может быть законный пользователь или злонамеренный пользователь. Как и для токенов доступа, для токенов обновления рекомендуется использовать короткий срок службы. Время проверки токена обновления может быть увеличено до определенной степени в высоконадежных системах и средствах связи.