没有刷新令牌
- 使用访问令牌发送API请求
- 如果访问令牌无效,则失败并要求用户重新进行身份验证
使用刷新令牌
- 使用访问令牌发送API请求
- 如果访问令牌无效,请尝试使用刷新令牌更新它
- 如果刷新请求通过,则更新访问令牌并重新发送初始API请求
- 如果刷新请求失败,请要求用户重新进行身份验证
令牌被攻击后
- 客户端缓存用户名和密码,容易受到黑客攻击,如果使用了token机制,就算黑客盗取了用户的access_token与refresh_token,只需重新登录,就可令原来的token失效。
- 如果访问令牌受到劫持,由于它的存在是短时间的,所以对访问令牌的滥用是控制在一定范围内的。
如果刷新令牌被劫持,基本上无害的,攻击者需要得到 client_id,secrect_id (通常存储在服务器上),再加上刷新令牌才可以进行操作。