登录后服务端会返回一个Accesstoken和refreshToken,,,accesstoken的有效期为两个小时,,refreshtoken的有效期为两个月。在accesstoken过期之后需要携带accesstoken去请求刷新接口获取新的accesstoken避免了重复登录。不过现在都问题就是refreshtoken要是泄露了咋办,,别人拿到这个直接利用refreshtoken就得到了accesstoken各位都用什么办法解决?
2 回答
当年话下
TA贡献1890条经验 获得超9个赞
refreshtoken也有过期时间,只不过是相对accesstoken时间长点而已。你考虑泄露refreshtoken的话,那accesstoken也有泄露的可能,至少在有效期内可以使用accesstoken请求接口了
幕布斯6054654
TA贡献1876条经验 获得超7个赞
如果要做到很高的安全,你可以使用RSA加密服务端给每一个oauth授权应用颁发公钥,服务端留私钥。客户端使用公钥加密后的refreshtoken请求刷新access_token使用access_token进行请求但是你这么说,又会有公钥泄露的问题。(公钥好像不怕泄露,本来就是公有的?)总而言之呢,绝对的安全是不存在的。
添加回答
举报
0/150
提交
取消