據我目前對訪問令牌的了解,在代碼流中,客戶端可以使用授權碼或重繪 令牌獲取訪問令牌。
但是..它可以在令牌過期之前使用它持有的訪問令牌獲得新的訪問令牌嗎?
我閱讀了 RFC6749(1.1 ~ 1.4, 4.1, 4.2, 5 部分,只是為了時間的緣故),我找不到這樣的
“訪問令牌必須僅由顯式資源所有者的授權或重繪 令牌頒發”
所以一直在想。。
如何使用訪問令牌頒發訪問令牌。
這有什么問題?
我對 OAuth 幾乎是菜鳥,并且只通過互聯網學習它,所以我可能完全誤解了 D:
請賜教..謝謝!
uj5u.com熱心網友回復:
您不能使用訪問令牌來獲取新的訪問令牌。訪問令牌是自包含的不記名令牌,可授予您訪問某些資料的權限。(由范圍表示)出于安全原因,訪問令牌的生命周期有限。一旦過期,您將無法再使用它。
考慮是否有人懷有惡意獲得了您的訪問令牌。然后他們可以使用它來訪問資料,但僅限于有限的時間。一旦訪問令牌過期,他們將無法再訪問該資料。
重繪 訪問
身份驗證程序的第一步會給您一個授權碼,這是一個一次性代碼,壽命極短,可能只有五分鐘,并且只能使用一次。當您交換它時,如果您請求離線訪問,您將獲得一個訪問令牌和一個重繪 令牌。
重繪 令牌可用于獲取新的訪問令牌。您可以在以后使用它來獲取訪問權限,而無需再次請求用戶訪問權限。要獲得新的訪問令牌,您首先需要擁有用于創建訪問令牌的客戶端和 i 以及客戶端密碼,并且在某些情況下,您需要訪問重定向 uri 所在的服務器。這樣,如果同一個惡意人員訪問了他們的重繪 令牌,他們就無法使用它來獲取新的訪問令牌,除非他們擁有您的、客戶端 ID、客戶端密碼和服務器訪問權限。
你可能會發現這個有趣的用 curl 理解 oauth2
uj5u.com熱心網友回復:
TLDR
能夠撤銷訪問權限。重繪 令牌用于此。
這是我的理解。頒發它們的身份驗證服務器不保留訪問令牌。它們的尺寸非常大,在一般情況下可能會有很多,每個范圍或一組范圍都有一個。重繪 令牌是不透明的短字串,由身份驗證服務器保留。如果發現用戶的系統受到威脅,它們可以被身份驗證服務器無效以撤銷身份驗證。例如,如果攻擊者獲得訪問/重繪 令牌并從不同的 IP 使用它們。在這種情況下,身份驗證服務器將針對保留的重繪 令牌設定一個標志,并且不會在沒有重新身份驗證的情況下重繪 訪問令牌。
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/461975.html
