猿问

萌新!api设计中refreshtoken的安全性谢谢哈~

登录后服务端会返回一个Accesstoken和refreshToken,,,accesstoken的有效期为两个小时,,refreshtoken的有效期为两个月。在accesstoken过期之后需要携带accesstoken去请求刷新接口获取新的accesstoken避免了重复登录。
不过现在都问题就是refreshtoken要是泄露了咋办,,别人拿到这个直接利用refreshtoken就得到了accesstoken各位都用什么办法解决?

		

			
月关宝盒

			
浏览 948回答 2

		

	

	

									
	

	

		
2回答

		

			
			

				
				
当年话下

				
refreshtoken也有过期时间,只不过是相对accesstoken时间长点而已。你考虑泄露refreshtoken的话,那accesstoken也有泄露的可能,至少在有效期内可以使用accesstoken请求接口了

				

					

            
            
          

          
0

				

			

			
			

				
				
幕布斯6054654

				
如果要做到很高的安全,你可以使用RSA加密服务端给每一个oauth授权应用颁发公钥,服务端留私钥。客户端使用公钥加密后的refreshtoken请求刷新access_token使用access_token进行请求但是你这么说,又会有公钥泄露的问题。(公钥好像不怕泄露,本来就是公有的?)总而言之呢,绝对的安全是不存在的。

				

					

            
            
          

          
0

				

			

			
		

	

	

		随时随地看视频慕课网APP
	

	
	
	

		
相关分类

		

			
			

			
				 JavaScript
			
			

				
			
		

	

	
	
	

		我要回答