Authentication 自定义(非OAuth)刷新令牌实现
我正在开发一个应用程序,它使用基于令牌的身份验证系统,用户提供用户名/密码并接收令牌作为回报(令牌也会保存到数据库中)。然后,后续请求将包含此令牌作为自定义头,我们可以使用它来标识用户。这一切都很好Authentication 自定义(非OAuth)刷新令牌实现,authentication,oauth,oauth-2.0,auth-token,Authentication,Oauth,Oauth 2.0,Auth Token,我正在开发一个应用程序,它使用基于令牌的身份验证系统,用户提供用户名/密码并接收令牌作为回报(令牌也会保存到数据库中)。然后,后续请求将包含此令牌作为自定义头,我们可以使用它来标识用户。这一切都很好 现在,如果用户在3天内未登录,我们将使令牌过期。我读了一些关于OAuth中刷新令牌的文章,我想知道是否可以实现类似的东西。i、 e.在提供auth令牌时,我还提供了一个刷新令牌,稍后可以使用它来请求一个新的auth令牌。不过,就安全性而言,它似乎非常类似于从一开始就不让用户的身份验证令牌过期。我是否
现在,如果用户在3天内未登录,我们将使令牌过期。我读了一些关于OAuth中刷新令牌的文章,我想知道是否可以实现类似的东西。i、 e.在提供auth令牌时,我还提供了一个刷新令牌,稍后可以使用它来请求一个新的auth令牌。不过,就安全性而言,它似乎非常类似于从一开始就不让用户的身份验证令牌过期。我是否应该使用刷新令牌发送附加信息以验证用户 在OAuth2中,资源服务器和授权服务器通常不相同 当发出访问令牌和刷新令牌时,刷新令牌被发送回客户端客户端需要进行自身身份验证(使用客户端id和客户端密码)才能使用刷新令牌。资源服务器从未看到刷新令牌 此外,访问令牌不存储在服务器端,因为它们的生存期有限。刷新令牌被存储,因此可以被撤销