在學習oauth2.0協議的時候,對于刷新令牌refresh token感覺很困惑。主要是為啥需要刷新令牌,以及刷新令牌是如何工作的,技術細節是啥?比如通過refresh token可以讓access token永久不過期嗎?
下面就針對這兩個問題進行詳細分析。
為什么需要刷新令牌
刷新令牌的生命周期
1. 授權服務頒發刷新令牌
2. 第三方服務使用刷新令牌
定時檢測方式和現場發現方式
3. 授權服務校驗刷新令牌
1. 接收刷新令牌請求,驗證基本信息
2. 重新生成訪問令牌
為什么需要刷新令牌
如果access token超時時間很長,比如14天,由于第三方軟件獲取受保護資源都要帶著access token,這樣access token的攻擊面就比較大。
如果access token超時時間很短,比如1個小時,那其超時之后就需要用戶再次授權,這樣的頻繁授權導致用戶體驗不好。
引入refresh token,就解決了【access token設置時間比較常,容易泄露造成安全問題,設置時間比較短,又需要頻繁讓用戶授權】的矛盾。
刷新令牌的生命周期
1. 授權服務頒發刷新令牌
第三方軟件得到一個訪問令牌的同時,也會得到一個刷新令牌,refresh_token是與第三方軟件、用戶關聯在一起的
2. 第三方服務使用刷新令牌
什么時候來使用刷新令牌呢?
定時檢測方式
在第三方軟件收到訪問令牌的同時,也會收到訪問令牌的過期時間expires_in。一個設計良好的第三方應用,應該將expires_in值保存下來并定時檢測;如果發現expires_in即將過期,則需要利用refresh_token去重新請求授權服務,以便獲取新的、有效的訪問令牌。
現場發現方式
比如第三方軟件訪問受保護資源的時候,突然收到一個訪問令牌失效的響應,此時第三方軟件立即使用refresh_token來請求一個訪問令牌,以便繼續代表用戶使用他的數據。
綜合來看的話,定時檢測的方式,需要額外開發一個定時任務;而“現場”發現,就沒有這種額外的工作量。具體采用哪一種方式,你可以結合自己的實際情況。不過呢,建議采用定時檢測這種方式,因為它可以帶來“提前量”,以便有更好的主動性,而現場發現就有點被動了。
3. 授權服務校驗刷新令牌
第三方軟件發送請求
授權服務器會先比較grant_type和 refresh_token的值,確認是請求刷新令牌的操作
1. 接收刷新令牌請求,驗證基本信息
1)和頒發訪問令牌前的驗證流程一樣,這里我們也需要驗證第三方軟件是否存在。
在使用刷新令牌的時候,也是需要應用傳遞它的app_id和app_sercet的
2)驗證刷新令牌是否存在,要保證傳過來的刷新令牌的合法性。
3)還需要驗證刷新令牌是否屬于該第三方軟件。授權服務是將頒發的刷新令牌與第三方軟件、當時的授權用戶綁定在一起的,因此這里需要判斷該刷新令牌的歸屬合法性。
2. 重新生成訪問令牌
訪問令牌access_token,其與第三方軟件、用戶,還有授權范圍scope綁定在一起。
在生成access_token的時候,要考慮下面的場景。
1)若access_token未超時,那么進行refresh_token有下面幾種方式:
不會改變access_token,但超時時間會刷新,相當于續期access_token
更新access_token的值,我們建議【統一更新access_token的值】
在spring security oauth中,其處理方式是仍返回原access_token及refresh_token,但是并不會續期,expires_in保持原樣,所以我們看到下面的響應
2)若access_token超時了,但是refresh_token未超時,那么更新access_token的值,但是刷新令牌refresh_token呢?推薦刷新令牌是一次性的,使用之后就會失效。
注意:通過refresh_token刷新后,返回來assessToken和refresh_token,但refresh_token過期時間不會重新刷新。
3)若refresh_token也超時了,就需要將刷新令牌和訪問令牌都放棄,相當于回到了系統的初始狀態,只能讓用戶小重新授權了。
謝謝關注張軍博客
本文為張軍原創文章,轉載無需和我聯系,但請注明來自張軍的軍軍小站,個人博客http://m.eyofj.com
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061

微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
