从安全、开发、产品三个角度反对用refresh_token续期access_token的观点

本文主要是介绍从安全、开发、产品三个角度反对用refresh_token续期access_token的观点,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

说明:

access_token: 服务端与客户端通信,有时服务端需要知道客户端的身份,就会用到access_token来用于验证身份。
refresh_token: 但为了保证安全token会设置过期时间,如果直接过期,相当于用户或调用端正在使用产品,突然间就退出登录了,这种产品体验很差,于是有了refresh_token。
简易流程: 登录后,服务端返回两个token,用于确定身份的access_token(短时间过期),和刷新access_token的refresh_token(长时间过期),请求接口时,如果access_token未过期则正常使用;当access_token过期但refresh_token未过期,则使用refresh_token获取新的access_token;如果refresh_token过期,则本次会登录过期,退出。

反对理由:

安全角度:

滥用问题: refresh_token是用来生成新的access_token而生的(字面意思叫刷新令牌),所以它就像一个token机关枪一样,突突突可以生成任意多个access_token,现在黑客攻击花样层出不穷,所以这个refresh_token因各种攻击或漏洞泄露出去很不安全。
全局鉴权问题 若有逻辑漏洞,用户主动退出登录致使access_token1销毁,能不能保证这个refresh_token创建的access_token_2也失去作用呢,顾头也得顾腚。

开发角度:

实现繁琐: 就一个登录还要两个token,虽然不复杂,但是繁琐。
存储问题: token是不用存储,但是为了安全,用户退出时access_token未过期,则需要在服务端存储一个黑名单,如果服务端在遇见这个access_token则直接拒绝这次访问。并附加一个过期时间,这个过期时间设置的一般是略大于或等于
access_token的过期时间,access_token需要这个解决方案,那么refresh_token也需要解决,数据量小还好,数量大这又是个问题。

产品角度:

这是个概率问题,也是个矛盾问题,就要看开发者怎么实现了,如果refresh_token和asscess_token过期直接退出登录,则用户可能正在使用或刚刚在用,然后会话就突然退出登录了,产品体感很差。
如果开发者考虑到refresh_token自动续期,那么都续期,refresh_token是不是又显得多余?是不是一个access_token自动续期就行了?

解决方案:就一个access_token即可。

续期问题怎么办?

现在很多access_token都用jwt,token里面可以塞一些数据,其中一个就是过期时间,服务器处理数据前,可在服务端判断token是否临近过期,如果临近过期直接自动生成新的access_token等逻辑处理完成,一并返回,客户端无感知静默续期,如果不用jwt,使用自定义token生成策略,原理也差不多。

续期的边界问题怎么办?

例如token过期时间30分钟,用户在21分钟和31分钟做了请求,服务端设置自动续期的时间点是>=25分钟,此时token又没有自动续期,用户在31分钟时仍旧会退出登录,用户体验还是不好。解决方案有两个,token距离过期时间的阈值设置的大一点,比如设置20分钟,这样可以自动续期避免边界问题。二是让前端解析token(一般是jwt),每分钟执行一次,前端检测到token块过期了,异步请求接口自动续期,只要前端能解析,是否快过期了客户端最清楚。

安全问题呢?

滥用问题不存在。
全局鉴权问题,仍旧需要让服务端把未过期但弃用的token放入黑名单中,并设置过期时间。

开发问题呢?

一个token相对简单。
存储问题:仍旧需要让服务端把未过期但弃用的token放入黑名单中,并设置过期时间,该存的还得存。

产品问题呢?

做好自动续期,用户体感就好了。

总结:

可见access_token也不是完美的,但相比refresh_token更方便也更安全,也确实难以找出一种完美的解决方案。

大家怎么看?

这篇关于从安全、开发、产品三个角度反对用refresh_token续期access_token的观点的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/523243

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还