Oauth2.0-如何防止第三方授权之后的token被冒用?

Web程序数据库 Web程序数据库 主题:1214 回复:2505

Oauth2.0-如何防止第三方授权之后的token被冒用?

甜柠檬 发布于 2017-04-15 字数 202 浏览 1275 回复 1

oauth授权第三方应用之后,在token不过期的情况,一旦token泄露,任何人可以使用这个token进行账号的操作,如何防止token不会冒用呢,也就是在使用token的时候,有没有办法做一次简单的认证,token没有被冒用。

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

支持 Markdown 语法,需要帮助?

评论(1

虐人心 2017-05-12 1 楼

OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期是无限的.

但是OAuth2.0为了增强安全性,access token的有效期被大大缩短,通常只有几个小时,也可以申请增加到几十天,但是总是会有过期的时候.

为此,OAuth2.0增加了一个refresh token的概念,这个token并不能用于请求api.它是用来在access token过期后刷新access token的一个标记.

在OAuth1.0中用户的登录状态是一直存在的.

在OAuth2.0中用户的登录状态需要通过不断刷新来维持.