移動應用程序的OAuth2訪問令牌是否必須過期？

Question

接受的答案在這裏爲why OAuth2 access tokens expire：

• 許多供應商支持承載令牌，這是非常脆弱的安全性，明智的。通過使它們短暫並需要刷新，它們限制了攻擊者濫用盜取令牌的時間。 （這是什麼意思？我的意思是允許傳輸沒有TLS？別的？）。
• 大規模部署不希望每個API調用都執行一次數據庫查找，因此它們會發出可以通過解密進行驗證的自編碼訪問令牌。但是，這也意味着無法撤銷這些令牌，因此它們會在短時間內發佈並且必須刷新。
• 刷新令牌需要客戶端身份驗證，這使其更加強大。與上述訪問令牌不同，它通常是通過數據庫查找來實現的。

假設我們不支持訪問令牌的非加密傳輸來處理第一個項目符號點。

假設我們是用細做一個數據庫查詢對一個revokable，完全隨機的訪問令牌需要第二個照顧。

對於移動應用程序，客戶端認證不能更強，因爲「註冊期間獲得的client_id和client_secret嵌入到應用程序的源代碼中，在這種情況下，client_secret顯然不被視爲祕密。 （Google）。這消除了第三個問題。

那麼，什麼是在這種情況下分離短暫的訪問令牌和長壽命刷新令牌有什麼好處？僅僅發佈非過期訪問令牌並忽略整個刷新令牌部分是否「可以」？

Answer 1

刷新令牌和安全的裝置的非過期的訪問令牌之間的差是到授權服務器一個額外呼叫。

如果攻擊者可以訪問您的未過期的訪問令牌，他可以直接調用您的資源服務器並獲取機密數據作爲響應。
現在，如果他盜取了你的刷新標記，他首先必須調用授權服務器並接收訪問令牌作爲響應。然後他可以查詢資源服務器的機密數據。

每次使用刷新令牌從授權服務器請求訪問令牌時，如果可能，OAuth 2規範（至少是現在的最新草稿）要求服務器爲check the client identity and if it is bound to the token。

由於具有客戶機密的常規方法無法在開放平臺上明確標識已安裝的應用程序，運行該應用程序的平臺必須提供執行此操作的方法。 Google例如要求開發人員簽署Android應用程序。當使用Google API Console請求安卓應用程序的憑證時，您必須指定the fingerprint of the certificate you used for signing the application，並且只能獲取客戶端ID，但不會迴應。在發放令牌時，Google可以決定是否由開發者授權應用程序以他的名義申請令牌。

如果您明確無法驗證客戶端身份，則至少有可能在某些情況下識別刷新令牌被盜。該規範有一個example for this：

當客戶端身份驗證不可能時，授權服務器應該部署其他手段來檢測刷新令牌濫用。

例如，授權服務器可以採用刷新令牌輪換，其中隨每個訪問令牌刷新響應一起發佈新的刷新令牌。之前的刷新令牌無效，但由授權服務器保留。如果刷新令牌受到攻擊並被攻擊者和合法客戶端使用，則其中一個會顯示一個無效的刷新令牌，該令牌會向授權服務器通知違規情況。

Answer 2

與非到期的訪問令牌的最大的問題是，有沒有一種機制，以取代被盜的令牌。如果我可以訪問您的非過期訪問令牌，那麼我對於該系統來說是有效的。如果令牌是短命的並且過期，那麼有一種機制可以替換被盜的令牌和我必須破解令牌的窗口限制。

假設我花3個小時破解一個數據包並獲得令牌，但該訪問令牌只有兩個小時好。然後，當我無法進入您的賬戶時，令牌已經改變，我必須重新開始。如果令牌沒有過期，那麼我可以完全訪問您的帳戶，並且在刪除令牌和強制重新授權之後無法取代它。

Answer 3

OAuth2訪問令牌不必過期（或者確實如此，但可能需要很多年）。

訪問令牌可以用於從資源服務器獲取某些資源，特別是它允許獲取用戶批准的資源。刷新令牌另一方面允許重複訪問。因此，人們不能廢除刷新令牌，而不需要每次訪問之間的用戶交互。

一般來說，令牌有時可能被相同設備上的其他惡意應用程序或手機上的MITM攻擊所盜用。如果可以讓手機信任狡猾的證書，SSL就可以使用MITM。公司有時需要訪問內部網絡（他們要求接受一個自簽名證書，這允許他們通過公司網絡發生MITM所有加密流量，因此假設發送令牌加密意味着他們不會在途中被盜。危險的，

無限制令牌本身並不弱於任何其他形式的令牌本質，如一堆論文（包括我自己的一篇文章中所證明的那樣，當我可以將其挖掘出來時，我會發布該鏈接）。然而，無記名代幣只適用於他們所作的假設是有效的假設，令牌可以保密是一般承載代幣的主要假設，如果不是這樣，則承載令牌不會聲明任何安全屬性（儘管有些仍然成立），見NIST Level 3 tokens，它定義了持票人令牌必須擊敗什麼攻擊，如s在OAuth Bearer Tokens中特化。短承載令牌不應該打敗令牌的盜竊行爲。

無法撤銷無記名令牌，這是真的。然而，鑑於通常的訪問模式是在獲取後立即使用訪問令牌，因此即使當前無法考慮濫用案例，也應儘快終止訪問令牌以防止潛在的濫用。令牌越長，它被盜的可能性就越大。刷新令牌實際上更加危險，因爲如果您無法保護客戶端ID，它會在更長的時間框架內提供重複訪問。一般而言，OAuth2可以提供對資源的訪問，因此可以用於向客戶端公開一段時間的API。使用刷新令牌可以完成更多的損害，而不是單個使用令牌。

客戶端身份驗證實際上可以通過多種方式更安全，例如，爲每個客戶端下載不同的密鑰。這可以防止在一臺設備上對令牌進行反向工程設計，破壞客戶端所有實例的安全性的廣泛攻擊。其他潛在的技術包括使用OAuth驗證客戶端與您的服務器，然後使用您希望訪問的授權服務器執行第二次OAuth協議運行。然後，您可以讓客戶定期更新密鑰，併爲他們提供不同的密鑰，同時不會給Facebook或Google所擁有的授權服務器所使用的系統帶來不必要的負擔。

使用移動應用程序時，即使沒有采取措施來保護客戶端，長壽命刷新令牌也比擁有某種多用途持票者令牌更安全。這是因爲用戶不能過期令牌。如果刷新令牌沒有被盜用，並且用戶僅僅希望撤銷訪問，那麼這可以完成。即使用戶僅希望撤銷訪問權限，也不能撤消多用途持票人令牌。一個多用途的數據庫引用令牌顯然可以被撤消，但這不是該協議的設計目的，因此在OAuth上執行的安全分析並沒有說明這個混合系統的安全性。

總之，我會建議使用刷新令牌和數據庫令牌，因爲這是最可能安全的。如果你能做任何事情來保護客戶，這是一個獎金，但這種保護的情況是微乎其微的。如果你確實想要保護客戶端的話，可以考慮使用軟標記，一個la google authenticator，因爲這是一個堅實的實現，經得起一些非常聰明的人的分析。