1
Oauth2引入了過期訪問令牌和用於訪問新訪問令牌的非到期(或長期)刷新令牌的想法。爲什麼我們甚至需要通過HTTPS刷新令牌?
這個額外的安全層有成本(後端以及前端)。這項措施的好處是否會超過成本?
如果您打算通過http部署您的API,那麼這聽起來像一個很好的過程,但是當您使用SSL(TLS)時它仍然有用嗎?
我在互聯網上對這個問題的所有研究都指出了「如果攻擊者竊取了你的非過期訪問令牌......」,但是等等,不,沒有人不會中間大小化我的令牌,因爲它通過HTTPS。
所以我們相信HTTPS,所有這些都是矯枉過正的教條,還是有任何其他理由擔心我的用戶令牌可能會被盜用?