Api 使用身份验证服务器=资源服务器刷新令牌?
我目前正在使用django rest框架开发一个API,我对令牌(JWT或OAuth2)身份验证有一个问题 事实上,当身份验证服务器和资源服务器相同时,我怀疑长寿命刷新令牌的效用 我对刷新令牌的理解是,当用户进行身份验证时,身份验证服务器返回一个短期访问令牌和一个我们存储的长期刷新令牌 当用户与资源服务器交互时,我们在请求中发送访问令牌,而从不发送刷新令牌。如果访问令牌已过期,我们将请求一个新的访问令牌,并将刷新令牌发送到身份验证服务器 通过这种方式,如果攻击者获得访问令牌,他将有一个很短的窗口来使用它,因为它是短暂的 但是在authentication server=resource server的情况下,如果攻击者可以破坏访问令牌,那么他也可以破坏刷新令牌。他可以很容易地获得新的访问令牌,对吗 那么在这种情况下使用刷新令牌系统的目的是什么(身份验证服务器=资源服务器)?在我看来,这与设置长期访问令牌相同,但我不确定 多谢各位Api 使用身份验证服务器=资源服务器刷新令牌?,api,authentication,oauth,jwt,Api,Authentication,Oauth,Jwt,我目前正在使用django rest框架开发一个API,我对令牌(JWT或OAuth2)身份验证有一个问题 事实上,当身份验证服务器和资源服务器相同时,我怀疑长寿命刷新令牌的效用 我对刷新令牌的理解是,当用户进行身份验证时,身份验证服务器返回一个短期访问令牌和一个我们存储的长期刷新令牌 当用户与资源服务器交互时,我们在请求中发送访问令牌,而从不发送刷新令牌。如果访问令牌已过期,我们将请求一个新的访问令牌,并将刷新令牌发送到身份验证服务器 通过这种方式,如果攻击者获得访问令牌,他将有一个很短的窗口