既生瑜何生亮 access_token VS refresh_token
中国有句老话, 既生瑜何生亮, 既然有我周瑜在世, 为什么老天还要一个诸葛亮啊?
同样的, 众所周知, 在 OAuth 2.0 授权协议中, 也有两个令牌 token , 分别是 access_token 和 refresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢?
我们先看下面两者的介绍
- access_token 访问令牌, 它是一个用来访问受保护资源的凭证
- refresh_token 刷新令牌, 它是一个用来获取access token的凭证
下面是 OAuth 2.0 中的 token 工作流程图
两个令牌的主要区别如下:
- access_token 时效短, refresh_token 时效长, 比如 access_token 有效期1个小时, refresh_token 有效期1天
- access_token 是授权服务器一定颁发的, 而 refresh_token 却是可选的
- access_token 过期后, 可以使用 refresh_token 重新获取, 而 refresh_token 过期后就只能重新授权了, 也没有 refresh_refresh_token
- access_token 和 资源服务器和授权服务器交互, 而 refresh_token 只和授权服务器交互
- access_token 颁发后可以直接使用, 而使用 refresh_token 需要客户端秘钥 client_secret
接下来, 我们继续看两个令牌在下面场景的应用, 假设有一个用户需要在后台管理界面上操作6个小时。
1 颁发一个有效性很长的 access_token, 比如 6 个小时, 或者可以更长, 这样用户只需要刚开始登录一次, access_token 可以一直使用, 直到 access_token 过期, 然后重复, 这种是不安全的, access_token 的时效太长, 也就失去了本身的意义。
2 颁发一个1小时有效期的 access_token, 过期后重新登录授权, 这样用户需要登录 6 次, 安全倒是有了, 但是用户体验极差
3 颁发1小时有效期的 access_token 和6小时有效期的 refresh_token, 当 access_token 过期后(或者快要过期的时候), 使用 refresh_token 获取一个新的 access_token, 直到 refresh_token 过期, 用户重新登录, 这样整个过程中,用户只需要登录一次, 用户体验好。
access_token 泄露了怎么办? 没关系, 它很快就会过期。 refresh_token 泄露了怎么办? 没关系, 使用 refresh_token 是需要客户端秘钥 client_secret 的。
4 用户登录后, 在后台管理页面上操作1个小时后, 离开了一段时间, 然后 5个小时后, 回到管理页面继续操作, 此时 refresh_token 有效期6个小时, 一直没有过期, 也就可以换取新的 access_token, 用户在这个过程中, 可以不用重复登录。但是在一些安全要求较高的系统中, 第二次操作是需要重新登录的, 即使 refresh_token 没有过期, 因为中间有几个小时, 用户是没有操作的, 系统猜测用户已离开, 并关闭会话。
所以, 得出的结论是, refresh_token 是一个很巧妙地设计, 提升了用户体验的同时, 又保证了安全性。
另外, 在 OAuth 2.0 安全最佳实践中, 推荐 refresh_token 是一次性的, 什么意思呢? 使用 refresh_token 获取 access_token 时, 同时会返回一个 新的 refresh_token, 之前的 refresh_token 就会失效, 但是两个 refresh_token 的绝对过期时间是一样的, 所以不会存在 refresh_token 快过期就获取一个新的, 然后重复,永不过期的情况。
相关文章
- 程序员大神Anders首次访华 畅聊编程语言趋势
- GoLand 2021.1 重磅发布:新特性试用报告
- 如何在React中操作DOM元素?
- 你的程序员是一种什么样的怪物?
- 推荐 10 个标星 100 K 的 GitHub 开源项目
- 大佬,第三方组件的Hooks为啥报错了?
- 创建一个成熟的GitOps流水线,需要做哪些决定?
- 自动化框架Selenium与Cypress,哪家强?
- 浅谈 PHP 中的多种加密技术及代码示例
- 最新版本PHP 7与HHVM 多角度比较
- “口罩厂”霍尼韦尔搞出的量子计算机,刚刚获得Nature认可
- 如何在HTML 5&JavaScript环境下保障开发安全
- Apache Mesos 正在投票讨论是否退役
- 面试官:如何让主线程等待所有的子线程结束之后再执行?我懵了
- C#程序员经常用到的10个实用代码片段
- 鸿蒙内核源码分析(消息队列篇) | 进程间如何异步解耦传递大数据
- 如何做好软件测试工作?
- 程序员必备:100本免费编程图书
- 2015年十五个热门的 PHP 开发工具
- 这五个编程谬论值得大家注意