爲什麼我們甚至需要通過HTTPS刷新令牌？

Question

Oauth2引入了過期訪問令牌和用於訪問新訪問令牌的非到期（或長期）刷新令牌的想法。

這個額外的安全層有成本（後端以及前端）。這項措施的好處是否會超過成本？

如果您打算通過http部署您的API，那麼這聽起來像一個很好的過程，但是當您使用SSL（TLS）時它仍然有用嗎？

我在互聯網上對這個問題的所有研究都指出了「如果攻擊者竊取了你的非過期訪問令牌......」，但是等等，不，沒有人不會中間大小化我的令牌，因爲它通過HTTPS。

所以我們相信HTTPS，所有這些都是矯枉過正的教條，還是有任何其他理由擔心我的用戶令牌可能會被盜用？

Answer 1

它不是關於減少令牌丟失，而是關於在中心位置請求新令牌時能夠應用訪問策略。請記住，刷新令牌僅用於授權服務器以獲取新的訪問令牌，此時授權服務器可以應用這些集中式策略，而訪問令牌用於保存受保護的資源服務器資源。

參見：what's the point of refresh token?