刷新令牌有什么用?
What is the usefulness of the refresh token?
刷新令牌有什么用?据我了解,当访问令牌过期时使用刷新令牌,发送刷新令牌以生成另一个刷新令牌和另一个访问令牌。这是因为如果访问令牌由于持续时间短而被劫持,恶意用户几乎无能为力,但如果持续时间长的刷新令牌被劫持,则用户将无法再受到保护。那么refresh token应该存放在哪里,这样就没人可以劫持了呢?或者后端应该采取什么安全措施?
将刷新令牌作为标记为 safe 和 sameSource 的 httpOnly cookie 发送。它将自动存储在 cookie 中,并随每个 http 请求发送到服务器。
httpOnly 无法通过 JavaScript 访问 cookie,因此如果您使用 https 协议,它就不容易被劫持。
刷新令牌有什么用?据我了解,当访问令牌过期时使用刷新令牌,发送刷新令牌以生成另一个刷新令牌和另一个访问令牌。这是因为如果访问令牌由于持续时间短而被劫持,恶意用户几乎无能为力,但如果持续时间长的刷新令牌被劫持,则用户将无法再受到保护。那么refresh token应该存放在哪里,这样就没人可以劫持了呢?或者后端应该采取什么安全措施?
将刷新令牌作为标记为 safe 和 sameSource 的 httpOnly cookie 发送。它将自动存储在 cookie 中,并随每个 http 请求发送到服务器。
httpOnly 无法通过 JavaScript 访问 cookie,因此如果您使用 https 协议,它就不容易被劫持。