为什么 OAuth 里除了 Access Token 之外,还需要 Refresh Token?

最新推荐文章于 2023-05-17 14:57:07 发布
最新推荐文章于 2023-05-17 14:57:07 发布
阅读量833 收藏
点赞数
文章标签: java 面试 安全 linux python
原文链接:https://mp.weixin.qq.com/s?__biz=MzI0MjE3OTYwMg==&mid=2649579047&idx=1&sn=beb0ee7b6f226f2ce0823b03ed566916&chksm=f119b55ac66e3c4ce6d415d085932b3477e7f3975bc63f03477052d1cdc0c6cc3a09a5a68443&scene=126&&sessionid=0
版权

上一篇:用 Arthas 定位 Spring Boot 接口的超时问题,让应用起飞~

问题:我有一个与 YouTube Live Streaming API 集成的程序。我以每 50 分钟的时间间隔,使用刷新令牌(refresh token)获取一个新的访问令牌(Access Token)。我的问题是,为什么 OAuth 要设计双重 token?当我通过 YouTube 进行身份验证时,它给了我一个刷新令牌。然后我使用这个刷新令牌大约每小时获取一个新的访问令牌。如果我有刷新令牌,我总是可以使用它来获取新的访问令牌,因为它永远不会过期。所以我不认为这比从一开始就给我一个访问令牌更安全。
回答简单地说,刷新令牌用于获取新的访问令牌。
为了清楚地区分这两个令牌并避免混淆,以下是 OAuth 2.0 授权框架中给出的功能:

  • 访问令牌由授权服务器在资源所有者的批准下颁发给第三方客户端。客户端使用访问令牌访问由资源服务器托管的受保护资源。刷新令牌是用于获取访问令牌的凭据。

  • 刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌。

出于安全原因,refresh_token 只与授权服务器交换,而 access_token 与资源服务器交换。这降低了“访问令牌有效期为一小时,刷新令牌有效期为一年或撤销前有效”与“访问令牌有效直至撤销而无需刷新”中长期存在的 access_token 泄漏的风险。

刷新令牌至少有两个用途。首先,刷新令牌是一种“证明”,表明 OAuth2 客户端已经从用户那里获得了访问其数据的许可,因此可以再次请求新的访问令牌,而无需用户通过整个 OAuth2 流程。其次,与长期访问令牌相比,它有助于增加整个安全流程。

刷新令牌作为不影响用户体验的一种方式

让我们用一个例子来谈谈第一个目的。假设您是一名用户,正在使用想要与您的 YouTube 帐户数据进行交互的第三方客户端网络应用程序。一旦您授予客户端应用程序使用您的 YouTube 数据的权限,您是否希望客户端应用程序在其 YouTube 令牌过期时再次提示您获得许可?如果 YouTube 令牌到期时间非常短(例如 5 分钟),会发生什么?

如果客户端应用程序至少每 5 分钟提示您一次许可,那会有点烦人!OAuth2 针对这个“问题”提出的解决方案是刷新令牌。通过使用刷新令牌,访问令牌可以保持短暂的生命周期(这在访问令牌以某种方式泄露或被盗的情况下是可取的),并且刷新令牌可以保持长期(更)生命周期,从而允许客户端获得新的访问权限令牌过期时无需用户再次许可。

但是为什么要刷新令牌呢?如果重点是不让用户使用权限请求,那么为什么客户端不能简单地说“嘿,授权服务器,我想要另一个访问令牌。而是,“嘿授权服务器,这是我过期的令牌,给我一个新的!”。刷新令牌作为一种“证明”,证明客户端在某个原始时间点被用户授予访问权限。该“证明”采用由授权服务器数字签名的刷新令牌的形式。通过客户端提供刷新令牌,授权服务器可以验证客户端在过去的某个时间点收到了用户的许可,并且客户端不必再次提示用户。

刷新令牌作为提高安全性的一种手段

然而,这提出了一个问题,“好吧,如果刷新令牌被泄露或被盗,或者只是被恶意客户端应用程序保留而没有应用户的要求将其删除,会发生什么?攻击者能不能继续使用刷新令牌无限期地(或直到它过期)获得有效的访问令牌?这个问题导致讨论我提到的第二个目的,刷新令牌有助于更安全的流程。

访问令牌出现的问题是,一旦获得,它们只会呈现给资源服务器(例如 YouTube)。因此,如果访问令牌被盗或泄露,您如何告诉资源服务器不要信任该令牌?好吧,你真的不能。唯一的方法是更改授权服务器上的私有签名密钥(首先对令牌进行签名的密钥)。

另一方面,刷新令牌需要频繁地提交给授权服务器,因此如果一个令牌被泄露,那么撤销或拒绝整个刷新令牌是微不足道的,而不必更改任何签名密钥。

作者:JerryWang_汪子熙

链接:https://www.jianshu.com/p/bf017aa3fb84

全文完,感谢你的耐心阅读。如果你还想看到我的文章,请一定给本文“在看”、“点赞”,新文章推送才会第一时间出现在你的微信里。

END - 

热门推荐:
字节面试:说说零拷贝,成功上岸!
不要把公司当成家,被通知裁员时会变得不幸...
公务员工作8年升职到正科,发完工资后感叹:公积金首次过万
用 Arthas 定位 Spring Boot 接口的超时问题,让应用起飞~

7行代码让B站崩溃3小时,竟因“一个诡计多端的0”
PS:如果觉得我的分享不错,欢迎大家随手点赞、转发、在看。
xhmj12
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token...检查需要创建的OAuth2的几张表:oauth_access_tokenoauth_approvals、oauth_client_details、oauth_client_tokenoauth_code、oauth_refresh_token 这几张表的字段类型一定要设
refreshtoken_tester:OAuth2刷新令牌测试仪
05-05
refreshtoken_tester OAuth2刷新令牌测试仪 在config.js中重命名config_template.js并设置您的值 根据您的授权服务器设置调整时间设置,以测试不同的行为。 节点index.js或节点调试index.js(如果已安装节点检查器...
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
Spring Security Oauth2 JWT----单点登录、注销、续签的问题
weixin_46106066的博客
04-21 7130
什么是用户身份认证?  用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权?  用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没 有权限的资源将无法访问,这个过程叫用户授权。 单点登录 只要进行单点登录,就可以访问多个模块。  单点...
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2095
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
Oauth2.0实现token刷新功能
康小虎的博客
07-13 9711
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式: 授权码模式基本思路: 微服务架构下的时序图: 2、刷新token (1)基本思路 首先我们要明白,在授权码模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
oauth2授权码模式下为什么要codetoken
菜鸟的学习笔记
03-21 809
为什么需要codetoken之胡扯八道
refreshToken的作用讨论及几点疑惑
weixin_52405713的博客
01-28 9964
在网上及oauth官方网文档转了一圈,看到如下理由: refreshToken的作用: 1、更加安全。直接接给access_token较长时间的有效期,有泄露风险,所以引用refresh_token,有效期长,但权限小。 2、类似session的检验方式,会在用户每次访问的时候刷新access_token的过期时间。此方案会有较大性能问题,有高频率无用刷新,尤其在请求频繁的时候。此时refresh_token的作用相当于降低了access_token的刷新频率。 3、在利用第三方登录,如微信登录、googl
OAuth2中 access_tokenrefresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 3008
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
OAuth2(三)自定义刷新令牌逻辑 refresh_token
weixin_54889617的博客
12-10 4018
OAuth2自定义刷新refresh_token
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6112
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
httpclient请求oauth服务器中的token
07-23
使用HttpClient获取oAuth2.0中的、tokenrefreshToken
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ ...
oauth2-token-manager:生成、验证和刷新 OAuth2 令牌。 代币兑码。 不承担任何特定的代币存储
06-17
特征 没有关于令牌存储类型的假设。 您可以存储与发布的令牌相... assert.ok(obj.refreshToken); }); 代币兑tokenManager .exchange(exchangeCode, redirectUri) .then(function(obj){ assert.ok(obj.acc
TokenRefresh Token
weixin_44153131的博客
02-14 2710
JWT(JSON Web Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。它将用户信息加密到token,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源码分析核心过滤器...
OAuth2.0的refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库,然后长期使用,因为它有效期很长,通常有效期
Spring boot + Security + OAuth2 password模式、refresh_token模式访问/oauth/token端点
OceanSky的专栏
07-25 2196
1./oauth/token端点 端点过滤器TokenEndpointAuthenticationFilter 端点对应的action类TokenEndpoint 受保护的资源信息类ResourceOwnerPasswordResourceDetails 和认证服务器交互资源信息类ResourceOwnerPasswordAccessTokenProvider 2./oauth/token(...
OAuth2有了token为啥还要refresh token
qq_27210677的专栏
02-24 777
access token 就是普通理解的token,用于唯一身份的标识,每次在请求后端,访问受保护的资源时,比如用户的个人信息,通讯录等,需要通过access token令牌来 访问受保护的资源。OAuth2是一种授权框架,用于允许第三方应用程序(客户端)在不知道用户的凭证(例如用户名密码)的情况下,访问受保护的资源(比如用户的个人信息,通讯录等)。在OAuth2授权框架中,access tokenrefresh token授权认证的令牌,但他们的作用是不同的。资源持有者:拥有受保护资源的用户。
oauthrefresh_token源码
最新发布
09-01
OAuthrefresh_token用于在访问令牌(access_token)过期后获取新的访问令牌。在OAuth协议中,refresh_token的生成和使用是由授权服务器(authorization server)负责的。 以下是OAuthrefresh_token源码的一个简单示例: ```java public class OauthRefreshToken { private String token; private Date expirationDate; public OauthRefreshToken(String token, Date expirationDate) { this.token = token; this.expirationDate = expirationDate; } public String getToken() { return token; } public Date getExpirationDate() { return expirationDate; } public boolean isExpired() { return new Date().after(expirationDate); } } ``` 在这个示例中,OauthRefreshToken类表示一个refresh_token对象。它包含了token和expirationDate两个属性,分别表示refresh_token的值和过期日期。 该类还包含了一个isExpired()方法,用于判断refresh_token是否过期。该方法通过将当前时间与过期日期进行比较,如果当前时间晚于过期日期,则说明refresh_token已经过期。 需要注意的是,在实际项目中,refresh_token的生成和存储通常会更加复杂和安全。这只是一个示例,供理解refresh_token的基本概念和使用。实际上,refresh_token的生成和校验需要结合授权服务器的具体实现和安全策略来进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值