这是一个创建于 2759 天前的主题,其中的信息可能已经有所发展或是发生改变。
refresh token 用来请求 access token,access token 过期时间变得非常短暂,网上的答案都是说增强了安全性,但是具体没说怎么增强,请问添加 refresh token 具体意义是什么
第 1 条附言 · 2018 年 7 月 16 日
感觉大多数人也是似懂非懂的哈
 |
1
stevenhawking 2018 年 7 月 14 日
因为短了所以安全, 添加 refresh_token 的意义就在于让他变得更安全
|
 |
2
zwh2698 2018 年 7 月 14 日 via Android
如果一个 token 长期有效,你怕不怕别人偷你家东西?你设置失效机制,但是你活没完,怎么办申请延期,可是如果谁都能申请延期那还有什么意义,所以需要身份证
|
 |
3
hu5ky 2018 年 7 月 14 日
|
 |
5
panpanpan 2018 年 7 月 14 日 via iPhone
access token 是给客户端的,有泄露的风险,refersh token 是给服务端的,不能暴露给用户。
|
 |
8
leekafai 2018 年 7 月 15 日
scope=时间+范围
|
 |
9
doubleflower 2018 年 7 月 15 日 via Android
有些服务 refresh token 也会很快过期,比如 inoreader 家的 API
|
 |
10
cc959798 OP @zwh2698 但是 refersh token 也是存在客户端,也可以通过获得 refersh token 来再次窃取 access token
|
 |
11
whileFalse 2018 年 7 月 15 日
@cc959798 但是如果有需要的话,refresh_token 也可以存在服务端。
|
Select Language