这是一个创建于 2318 天前的主题,其中的信息可能已经有所发展或是发生改变。
refresh token 用来请求 access token,access token 过期时间变得非常短暂,网上的答案都是说增强了安全性,但是具体没说怎么增强,请问添加 refresh token 具体意义是什么
第 1 条附言 · 2018-07-16 12:46:19 +08:00
感觉大多数人也是似懂非懂的哈
 |
1
stevenhawking 2018-07-14 21:19:46 +08:00
因为短了所以安全, 添加 refresh_token 的意义就在于让他变得更安全
|
 |
2
zwh2698 2018-07-14 21:27:29 +08:00 via Android
如果一个 token 长期有效,你怕不怕别人偷你家东西?你设置失效机制,但是你活没完,怎么办申请延期,可是如果谁都能申请延期那还有什么意义,所以需要身份证
|
 |
3
hu5ky 2018-07-14 21:28:56 +08:00
|
 |
5
panpanpan 2018-07-14 23:15:50 +08:00 via iPhone
access token 是给客户端的,有泄露的风险,refersh token 是给服务端的,不能暴露给用户。
|
 |
7
Lax 2018-07-15 00:17:12 +08:00
|
 |
8
leekafai 2018-07-15 00:24:55 +08:00
scope=时间+范围
|
 |
9
doubleflower 2018-07-15 09:05:48 +08:00 via Android
有些服务 refresh token 也会很快过期,比如 inoreader 家的 API
|
 |
10
cc959798 OP @zwh2698 但是 refersh token 也是存在客户端,也可以通过获得 refersh token 来再次窃取 access token
|
 |
11
whileFalse 2018-07-15 10:11:28 +08:00
@cc959798 但是如果有需要的话,refresh_token 也可以存在服务端。
|
Select Language