JWT refresh_token 包含什么?

【问题标题】:What goes into a JWT refresh_token?JWT refresh_token 包含什么?
【发布时间】:2017-01-24 04:48:39
【问题描述】:

我根据我在网上找到的一些示例为我的 Asp.net Core REST 服务构建了一些 JWT 中间件。我知道响应看起来像:

{
   "access_token":"...",
   "expires_in":3600,
   "refresh_token":"???",
   "token_type": "Bearer",
}

我了解如何创建 access_token:

Claim[] claims = new Claim[]
{
    new Claim(JwtRegisteredClaimNames.Sub, strUsername),
    new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
    new Claim(JwtRegisteredClaimNames.Iat, dtNow.ToUnixTimeSeconds().ToString(), ClaimValueTypes.Integer64)
};

JwtSecurityToken jwtAccess = new JwtSecurityToken(_options.Issuer, _options.Audience, claims, dtNow.DateTime,
                                                  dtNow.DateTime.Add(_options.AccessTokenExpiration), _options.SigningCredentials);

问题是如何创建 refresh_token?我搜索了高低,找不到太多关于它的文档。基本上,所有参考资料都说“它是存储在数据库中的令牌,具有更长的 TTL,您可以从中创建新的 access_token”。

那么 refresh_token 是否与 access_token 完全相同,只是 TTL 更长,并且针对数据库验证了额外的步骤?

我见过的一些示例 JWT 响应似乎 refresh_token 要短得多。我的 access_token 是用 RSA515 的证书签名的,所以字符串有点长...

【问题讨论】:

  • 现在我个人的刷新令牌只是具有更长 TTL 和更多信息的 JWT,可帮助我验证资源所有者。它可以是一个简单的 GUID,用于将用户映射到令牌,其中到期时间也与令牌一起存储在数据库中。
  • 看看下面来自Auth0的文章,它支持链接auth0.com/docs/tokens/refresh_token
  • @Nkosi,在那个链接中,refresh_token 真的很短。
  • @Nkosi,我认为 GUID 非常不安全。
  • 这就是为什么我通常倾向于使用另一个 JWT 作为刷新令牌。这似乎是多余的。但我在 JWT 中存储了一个 Guid 作为标识符,检查数据库中的该标识符以及客户端的其他一些可识别信息。我会说这更像是一个偏好问题

标签: c# asp.net-core jwt refresh-token


【解决方案1】:

现在,我个人的刷新令牌只是具有更长 TTL 和更多信息的 JWT,可帮助我验证资源所有者。

看看下面来自 Auth0 的文章,它支持链接

https://auth0.com/docs/tokens/refresh_token

它甚至可以是一个简单的 GUID,用于将用户/客户端映射到令牌,其中到期时间也与令牌一起存储在数据库中。

以下示例来自上面的链接,他们在该链接中使用了类似于 Guid 的刷新令牌。

因此,例如,假设有一个用户“test”,密码为“test” 和一个客户“testclient”的客户秘密“秘密”,一个可以 请求一个新的访问令牌/刷新令牌对,如下所示:

$ curl -X POST -H 'Authorization: Basic dGVzdGNsaWVudDpzZWNyZXQ=' -d 'grant_type=password&username=test&password=test' localhost:3000/oauth/token

{
    "token_type":"bearer",
    "access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiVlx1MDAxNcKbwoNUwoonbFPCu8KhwrYiLCJpYXQiOjE0NDQyNjI1NDMsImV4cCI6MTQ0NDI2MjU2M30.MldruS1PvZaRZIJR4legQaauQ3_DYKxxP2rFnD37Ip4",
    "expires_in":20,
    "refresh_token":"fdb8fdbecf1d03ce5e6125c067733c0d51de209c"
}

一旦他们的令牌过期,他们就会调用并传递刷新令牌以获取新的访问令牌。

现在我们可以使用刷新令牌通过点击获取新的访问令牌 令牌端点像这样:

curl -X POST -H 'Authorization: Basic dGVzdGNsaWVudDpzZWNyZXQ=' -d 'refresh_token=fdb8fdbecf1d03ce5e6125c067733c0d51de209c&grant_type=refresh_token' localhost:3000/oauth/token

{
    "token_type":"bearer",
    "access_token":"eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyIjoiVlx1MDAxNcKbwoNUwoonbFPCu8KhwrYiLCJpYXQiOjE0NDQyNjI4NjYsImV4cCI6MTQ0NDI2Mjg4Nn0.Dww7TC-d0teDAgsmKHw7bhF2THNichsE6rVJq9xu_2s",
    "expires_in":20,
    "refresh_token":"7fd15938c823cf58e78019bea2af142f9449696a"
}

安全注意事项

刷新令牌是长期存在的。这意味着当客户从 一个服务器,这个令牌必须被安全地存储以防止它被 被潜在的攻击者使用,因此存储不安全 它们在浏览器中。如果刷新令牌被泄露,它可能被用于 获取新的访问令牌(并访问受保护的资源),直到它 被列入黑名单或过期(可能需要很长时间)。刷新 令牌必须颁发给单个经过身份验证的客户端以防止使用 其他方泄露的代币。还必须保留访问令牌 秘密,但由于其寿命较短,安全考虑较少 关键。

【讨论】:

  • 我知道。这些示例是为了表明它不一定是 JWT
  • 哦,我明白了,好的,抱歉 :-)
  • 没问题。容易误解。我可能会措辞更好。
猜你喜欢
  • 1970-01-01
  • 2020-08-20
  • 2015-05-22
  • 2019-03-28
  • 2011-08-18
  • 2017-07-20
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode