从安全、开发、产品三个角度反对用refresh_token续期access_token的观点

本文主要是介绍从安全、开发、产品三个角度反对用refresh_token续期access_token的观点,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

说明:

access_token: 服务端与客户端通信,有时服务端需要知道客户端的身份,就会用到access_token来用于验证身份。
refresh_token: 但为了保证安全token会设置过期时间,如果直接过期,相当于用户或调用端正在使用产品,突然间就退出登录了,这种产品体验很差,于是有了refresh_token。
简易流程: 登录后,服务端返回两个token,用于确定身份的access_token(短时间过期),和刷新access_token的refresh_token(长时间过期),请求接口时,如果access_token未过期则正常使用;当access_token过期但refresh_token未过期,则使用refresh_token获取新的access_token;如果refresh_token过期,则本次会登录过期,退出。

反对理由:

安全角度:

滥用问题: refresh_token是用来生成新的access_token而生的(字面意思叫刷新令牌),所以它就像一个token机关枪一样,突突突可以生成任意多个access_token,现在黑客攻击花样层出不穷,所以这个refresh_token因各种攻击或漏洞泄露出去很不安全。
全局鉴权问题 若有逻辑漏洞,用户主动退出登录致使access_token1销毁,能不能保证这个refresh_token创建的access_token_2也失去作用呢,顾头也得顾腚。

开发角度:

实现繁琐: 就一个登录还要两个token,虽然不复杂,但是繁琐。
存储问题: token是不用存储,但是为了安全,用户退出时access_token未过期,则需要在服务端存储一个黑名单,如果服务端在遇见这个access_token则直接拒绝这次访问。并附加一个过期时间,这个过期时间设置的一般是略大于或等于
access_token的过期时间,access_token需要这个解决方案,那么refresh_token也需要解决,数据量小还好,数量大这又是个问题。

产品角度:

这是个概率问题,也是个矛盾问题,就要看开发者怎么实现了,如果refresh_token和asscess_token过期直接退出登录,则用户可能正在使用或刚刚在用,然后会话就突然退出登录了,产品体感很差。
如果开发者考虑到refresh_token自动续期,那么都续期,refresh_token是不是又显得多余?是不是一个access_token自动续期就行了?

解决方案:就一个access_token即可。

续期问题怎么办?

现在很多access_token都用jwt,token里面可以塞一些数据,其中一个就是过期时间,服务器处理数据前,可在服务端判断token是否临近过期,如果临近过期直接自动生成新的access_token等逻辑处理完成,一并返回,客户端无感知静默续期,如果不用jwt,使用自定义token生成策略,原理也差不多。

续期的边界问题怎么办?

例如token过期时间30分钟,用户在21分钟和31分钟做了请求,服务端设置自动续期的时间点是>=25分钟,此时token又没有自动续期,用户在31分钟时仍旧会退出登录,用户体验还是不好。解决方案有两个,token距离过期时间的阈值设置的大一点,比如设置20分钟,这样可以自动续期避免边界问题。二是让前端解析token(一般是jwt),每分钟执行一次,前端检测到token块过期了,异步请求接口自动续期,只要前端能解析,是否快过期了客户端最清楚。

安全问题呢?

滥用问题不存在。
全局鉴权问题,仍旧需要让服务端把未过期但弃用的token放入黑名单中,并设置过期时间。

开发问题呢?

一个token相对简单。
存储问题:仍旧需要让服务端把未过期但弃用的token放入黑名单中,并设置过期时间,该存的还得存。

产品问题呢?

做好自动续期,用户体感就好了。

总结:

可见access_token也不是完美的,但相比refresh_token更方便也更安全,也确实难以找出一种完美的解决方案。

大家怎么看?

这篇关于从安全、开发、产品三个角度反对用refresh_token续期access_token的观点的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/523243

相关文章

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

利用Python开发Markdown表格结构转换为Excel工具

《利用Python开发Markdown表格结构转换为Excel工具》在数据管理和文档编写过程中,我们经常使用Markdown来记录表格数据,但它没有Excel使用方便,所以本文将使用Python编写一... 目录1.完整代码2. 项目概述3. 代码解析3.1 依赖库3.2 GUI 设计3.3 解析 Mark

利用Go语言开发文件操作工具轻松处理所有文件

《利用Go语言开发文件操作工具轻松处理所有文件》在后端开发中,文件操作是一个非常常见但又容易出错的场景,本文小编要向大家介绍一个强大的Go语言文件操作工具库,它能帮你轻松处理各种文件操作场景... 目录为什么需要这个工具?核心功能详解1. 文件/目录存javascript在性检查2. 批量创建目录3. 文件

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

基于Python开发批量提取Excel图片的小工具

《基于Python开发批量提取Excel图片的小工具》这篇文章主要为大家详细介绍了如何使用Python中的openpyxl库开发一个小工具,可以实现批量提取Excel图片,有需要的小伙伴可以参考一下... 目前有一个需求,就是批量读取当前目录下所有文件夹里的Excel文件,去获取出Excel文件中的图片,并

基于Python开发PDF转PNG的可视化工具

《基于Python开发PDF转PNG的可视化工具》在数字文档处理领域,PDF到图像格式的转换是常见需求,本文介绍如何利用Python的PyMuPDF库和Tkinter框架开发一个带图形界面的PDF转P... 目录一、引言二、功能特性三、技术架构1. 技术栈组成2. 系统架构javascript设计3.效果图

基于Python开发PDF转Doc格式小程序

《基于Python开发PDF转Doc格式小程序》这篇文章主要为大家详细介绍了如何基于Python开发PDF转Doc格式小程序,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 用python实现PDF转Doc格式小程序以下是一个使用Python实现PDF转DOC格式的GUI程序,采用T

使用Python开发一个图像标注与OCR识别工具

《使用Python开发一个图像标注与OCR识别工具》:本文主要介绍一个使用Python开发的工具,允许用户在图像上进行矩形标注,使用OCR对标注区域进行文本识别,并将结果保存为Excel文件,感兴... 目录项目简介1. 图像加载与显示2. 矩形标注3. OCR识别4. 标注的保存与加载5. 裁剪与重置图像

Android开发中gradle下载缓慢的问题级解决方法

《Android开发中gradle下载缓慢的问题级解决方法》本文介绍了解决Android开发中Gradle下载缓慢问题的几种方法,本文给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧... 目录一、网络环境优化二、Gradle版本与配置优化三、其他优化措施针对android开发中Gradle下载缓慢的问

使用Go语言开发一个命令行文件管理工具

《使用Go语言开发一个命令行文件管理工具》这篇文章主要为大家详细介绍了如何使用Go语言开发一款命令行文件管理工具,支持批量重命名,删除,创建,移动文件,需要的小伙伴可以了解下... 目录一、工具功能一览二、核心代码解析1. 主程序结构2. 批量重命名3. 批量删除4. 创建文件/目录5. 批量移动三、如何安