1
我正在API中實現OAuth 2.0。我們使用JWT進行身份驗證,並刷新令牌以進行僅限客戶端的重新授權。我是否應該要求客戶在POST /token的主體中也提供userId,以便他們必須一起了解用戶和刷新令牌(因此,您不能只嘗試一堆隨機字符串,看看有什麼作用)?標準是什麼?OAuth 2.0刷新令牌是否需要用戶ID
A
回答
0
如果規範正確實現,猜測一個刷新標記是不應該的; https://tools.ietf.org/html/rfc6749#section-10.4說:
授權服務器必須確保刷新令牌不能 生成的,修改或猜出 未授權方出示有效刷新令牌。
您必須確保您生成具有足夠熵的刷新標記,以便刷新標記的隨機性不會因添加用戶標識而有所不同。或者換句話說,猜測你的刷新標記就像猜測userid +刷新標記一樣困難。除此之外,在POST中添加一個用戶標識會使它實際上比使用用戶標識的長度將隨機字符串添加到刷新標記更具可預測性。
相關問題
- 1. OAuth 2.0刷新令牌不可用?
- 2. OAuth 2.0:重新發送刷新令牌
- 3. 撤銷舊的oAuth 2.0刷新令牌
- 4. 舊的OAuth 2.0刷新令牌是否會被撤銷
- 5. OAuth 2.0令牌處理。是否有服務器令牌和客戶端令牌?
- 6. OAuth 2.0 - 何時應該使用刷新令牌更新訪問令牌?
- 7. LinkedIn API OAuth刷新令牌
- 8. Spring Oauth JWT - 刷新令牌
- 9. Twitter oauth刷新令牌
- 10. OAuth刷新令牌錯誤
- 11. 刷新oauth linkedin令牌
- 12. Google OAuth 2.0 Java庫如何處理訪問令牌!如果提供客戶端ID,祕密和刷新令牌。
- 13. 我們是否需要刷新令牌使用谷歌的服務帳戶
- 14. OAuth 2.0訪問令牌已過期,並且刷新令牌不可用
- 15. 使用谷歌OAuth 2.0刷新令牌沒有client_secret
- 16. 使用Google OAuth 2.0和PHP/JS自動刷新令牌
- 17. 使用PassPortJS和Node.jS獲取谷歌OAuth 2.0刷新令牌
- 18. GCM 3.0刷新註冊令牌是否需要?
- 19. 爲什麼我需要刷新令牌的refreh訪問令牌
- 20. OAuth 2請求新的訪問令牌使用刷新令牌?
- 21. Google OAuth 2.0刷新令牌400僅針對某些用戶的請求
- 22. Cognito用戶池 - 刷新令牌是否與客戶端ID綁定?
- 23. 從OAuth令牌獲取用戶ID
- 24. Facebook是否具有OAuth的刷新令牌?
- 25. Swagger代碼Gen SDK是否可以處理OAuth令牌刷新?
- 26. OneLogin SCIM配置是否支持OAuth刷新令牌?
- 27. 如何在OAuth 2.0中獲取刷新令牌?
- 28. 無法刷新OAuth 2.0中的訪問令牌遊樂場
- 29. OWIN的OAuth 2.0授權服務器刷新令牌
- 30. 關於PayPal OAuth 2.0關於訪問/刷新令牌的澄清
好點。我正在考慮這樣的情景:某人以某種方式獲取訪問令牌但不知道它是誰的身份 - 這種雙因素身份驗證的形式,但我實際上無法想象如果您使用SSL,如果你不使用SSL,他們也會看到userId:P – jtmarmon
是的,如果兩者一起發送,實際上很難看到一個,而不是另一個。同樣的事情將最有可能存儲 –