0

私はトークンベースの認証システムを使用するアプリケーションに取り組んでおり、ユーザーはユーザー名/パスワードを提供し、その見返りにトークンを受け取ります (トークンはデータベースにも保存されます)。その後のリクエストには、このトークンがカスタム ヘッダーとして含まれ、これを使用してユーザーを識別できます。これはすべてうまくいきます。

現在、ユーザーが 3 日間ログインしない場合、トークンは失効します。OAuth のリフレッシュ トークンについて少し読んでいて、どうにかして似たようなものを実装できないかと思っていました。つまり、認証トークンを提供するときに、後で新しい認証トークンを要求するために使用できる更新トークンも提供します。ただし、セキュリティの観点からは、そもそもユーザーの認証トークンを期限切れにしないことと非常に似ているようです。ユーザーを検証するために、更新トークンと共に追加情報を送信する必要がありますか?

4

1 に答える 1

-1

OAuth2 では、リソース サーバーと認可サーバーが同じではないことがよくあります。

更新トークンは、アクセス トークンが発行されたとき、およびトークンが更新されたときに、クライアントに返されます。クライアントは、更新トークンを使用するために (クライアント ID とクライアント シークレットを使用して) 自分自身を認証する必要があります。リソース サーバーは更新トークンを認識しません。

また、アクセス トークンは有効期間が限られているため、サーバー側には保存されません。リフレッシュ トークンは保存されるため、取り消すことができます。

于 2015-10-22T15:15:12.830 に答える