refresh-token相关内容

为什么刷新令牌被认为对 SPA 不安全?

我正在阅读 Auth0 站点上关于 Refresh Tokens and SPA,并且他们声明 SPA 不应使用刷新令牌,因为它们无法安全地存储在浏览器中,而应使用静默身份验证来检索新的访问令牌. 单页应用程序(通常实施隐式授权)在任何情况下都不应获得刷新令牌.原因是这条信息的敏感性.您可以将其视为用户凭据,因为刷新令牌允许用户基本上永远保持经过身份验证.因此,您无法在浏览器中获得这些信息, ..
发布时间:2021-11-26 19:41:44 其他开发

如何通过 HTTP REST API 访问我的 Firebase 数据库?

感谢 这个答案,我能够通过 HTTP REST API 和电子邮件/密码连接到 Firebase 3.使用此 API 登录会返回用于访问 Firebase 数据库的访问令牌.此访问令牌将在 1 小时后过期.登录后也会返回一个刷新令牌,我可以用它来刷新我的访问令牌.这是我正在做的具体事情: 方法: POST 网址: https://www.googleapis.com/identityt ..
发布时间:2021-11-26 19:40:45 其他开发

刷新令牌有什么意义?

我不得不承认我有这个问题很长时间了,从来没有真正理解过. 说身份验证令牌就像保险箱的钥匙,当它到期时就不再可用了.现在我们得到了一个神奇的刷新令牌,它可以用来获取另一个可用的密钥,以及另一个......直到魔法密钥过期.那么为什么不将 auth 令牌的到期时间设置为与刷新令牌相同?为什么要打扰? 它的正当理由是什么,也许是历史原因?真的很想知道.谢谢 解决方案 引用的答案(通过 ..
发布时间:2021-11-26 19:40:28 其他开发

“刷新令牌"的目的是什么?

我有一个与 YouTube Live Streaming API 集成的程序.它在计时器上运行,因此对我来说相对容易编程以使用刷新令牌每 50 分钟获取一个新的访问令牌.我的问题是,为什么? 当我通过 YouTube 进行身份验证时,它给了我一个刷新令牌.然后我使用这个刷新令牌大约每小时一次获取一个新的访问令牌.如果我有刷新令牌,我总是可以使用它来获取新的访问令牌,因为它永远不会过期.所以我 ..
发布时间:2021-11-26 19:33:42 其他开发

我是否应该明确发送刷新令牌以获取新的访问令牌 - JWT

在我的应用程序中,当用户成功登录时,我会返回一个访问令牌和一个刷新令牌.访问和刷新令牌的过期时间分别设置为 10 和 40 分钟.(我应该对这些值做更多的研究.这只是为了测试) 我使用了以下文章中描述的实现 http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 假设我在登录 10 分钟后调用了对服务器的请 ..
发布时间:2021-11-26 19:33:31 其他开发

Angular 8 Intercept 调用刷新令牌

如果当前访问令牌已过期,我正在尝试刷新访问令牌. 我一次发送多个请求,我想创建一种队列,这样其他请求就不会请求刷新令牌路由. 我在谷歌上搜索了一些最佳实践和示例,并找到了以下针对 Angular 6 和 rxjs v6 的解决方案,该解决方案使用 BehaviourSubject 和 switchMaps.(见附件代码) 但是我使用的是 Angular 8 (8.1) 和 rxj ..
发布时间:2021-11-08 23:40:58 其他开发

在 swift + alamofire 中使用新的刷新令牌重试旧请求

我正在编写由其他人完成的代码.我对 swift 也有点陌生.下面的代码是我的网络层,已被其他控制器文件使用.我的要求是在令牌过期后重试最后一个网络请求.如何将其集成到网络层本身?登录应用程序时,我第一次调用 get 令牌服务并将其保存在标题中. 导入 UIKit进口阿拉莫火进口伐木类网络管理器:NSObject {变量标记:字符串!var APISecret = ""var basicAuth ..
发布时间:2021-10-26 18:33:06 移动开发

如何在 Java 中使用刷新令牌获取访问令牌?

我目前正在使用 Java 中的 Google Contact API 实现 Contact Application.我已完成授权步骤并获得一个访问令牌和一个刷新令牌. 现在我有了 CLIENT_ID , CLIENT_SECRET AND REFRESH_TOKEN .但是 访问令牌 将在一小时内过期. 谁能告诉我如何在 Java 中使用 刷新令牌 自动生成访问令牌? 解决方案 ..
发布时间:2021-10-26 16:22:46 Java开发

从 grant_type=password 和 grant_type=refresh_token 获取的访问令牌中的用户角色(权限)存在差异

我有一个情况: 第 1 步:获取访问令牌(grant_type=password)(A1)和刷新令牌.(RT1) 第 2 步:使用令牌 (A1) 访问资源 (R) - 成功 第 3 步:撤销资源 R 的用户访问权限. 第 4 步:获取访问令牌(grant_type=password)(A2)和刷新令牌.(RT2) 第 5 步:使用令牌 (A2) 访问资源 (R) - ..
发布时间:2021-06-11 19:21:32 其他开发

由于几天刷新令牌已自动过期

我们在 Google API 控制台有 Google OAuth2 Web 客户端 在 Oauth Web 客户端的帮助下,我们为每个用户获取刷新令牌(通过使用 Web 身份验证和音乐会屏幕) 我们将收到的刷新令牌存储到数据库中,并且系统使用此用户特定的刷新令牌来代表登录用户自动创建 Google 日历事件(我们有大约 1000 个用户) 问题:几天后刷新令牌已自动过期并出现以下错误. ..
发布时间:2021-06-11 18:57:58 其他开发

NestJs/Angular/Cognito 流

如果没有具体示例,很难正确理解身份验证和授权流程.NestJs doc 有一个很好的 JWT 令牌示例,但是我发现很难建立正确的流程. 这是我能够解决授权流程的最接近的方法: 身份验证后,将刷新令牌存储在数据库中(我不太喜欢但找不到更简单的方法来处理它),将访问令牌发送到 Angular 并将其保存在本地存储或 cookie 中 在每个请求中发送访问令牌并检查它是否仍然有效且未接近到 ..
发布时间:2021-06-07 19:09:23 其他开发

为什么刷新令牌应保存在服务器端?

我了解访问令牌通常不会保存在服务器端,而只是使用某种算法的密钥进行了验证.但是,似乎正常的行为是在服务器端(即数据库)中保存刷新令牌,并在用户尝试刷新其访问令牌时将其与用户的令牌进行比较.我的问题是,为什么不只是以验证访问令牌的方式验证刷新令牌? 解决方案 如果令牌是针对数据库验证的ID,通常会更安全,因为这可以随时撤消令牌(通过删除令牌)从数据库中删除或将其标记为无效). 诸如JW ..
发布时间:2021-05-28 18:57:06 其他开发

同时发出带有过期令牌的API请求时,如何避免多个令牌刷新请求

使用JWT的 API请求是在flask和Vue.js中实现的.JWT存储在cookie中,服务器为每个请求验证JWT. 如果令牌已过期,将返回401错误.如果您收到401错误,请按照以下代码刷新令牌,再次发出原始API请求.以下代码是所有请求的通用代码. http.interceptors.response.use((response)=> {返回响应;},错误=>{if(error. ..
发布时间:2021-05-28 18:56:04 前端开发

如果发出新的刷新令牌,旧的刷新令牌是否仍然有效?

我的应用程序使用Google刷新令牌(从Google获取access_token).我在这里有两个问题: 我知道Google刷新令牌不会在6个月内过期(在此处查看文档);说我在1月1日下午5:00获得了刷新令牌 refresh_token_old ,我的应用在1月1日下午5:30向Google请求了另一个刷新令牌 refresh_token_new (即,30分钟后),旧的刷新令牌是否仍然有 ..
发布时间:2021-05-11 20:15:02 其他开发

Google API刷新令牌已过期或已撤销

我正在使用Google Ads php库( https://github.com/googleads/googleads-php-lib ),以按照Google在此处的说明(提示“安全活动"存在问题,但我的Google帐户中没有安全问题. Google令牌刷新返回"令牌已过期或已撤消." 和 还有其他想法吗? 解决方案 更新:这不能解决问题 根据令牌已过期或被撤销-Goo ..
发布时间:2021-05-11 20:09:29 其他开发

OAuth客户端凭据重新颁发访问令牌与刷新令牌

通读一些关于Oauth 2流程中刷新令牌用途的类似文章,它们对于用户参与的身份验证(如用户名和密码)有意义,但对于Oauth2客户端凭据流程,为什么要冒着使用刷新令牌的风险根本没有? 与通过客户端ID和客户端机密身份验证获取访问令牌相比,使用刷新令牌过期后使用刷新令牌获取新访问令牌的速度更快吗? 引用的帖子: 为什么OAuth v2既可以访问又可以刷新令牌? 刷新令牌的意义是什 ..
发布时间:2021-04-22 19:18:33 其他开发

尽管使用了机密客户端,Azure刷新令牌也会过期

我正在将Web App/API天蓝色应用程序用于Web应用程序,并使用带有client_id和client_secret的授权授予流来获取访问/刷新令牌(使用rest API),一切正常,除了具有90天后过期.期望有一个Azure_Documents中所述的,永不过期(除非明确吊销)的refresh_token. 这是Microsoft AzureAD文档所说的:( https://docs ..
发布时间:2021-04-13 20:08:42 其他开发