我已阅读PODIO documentation。我特别考虑了以下关于使用refresh_token 的声明:
这个请求返回的数据和上面一样,你可以继续 一遍又一遍地这样做,以保持您的应用程序经过身份验证 无需要求用户重新进行身份验证。
这是否意味着refresh_token 将无限期有效还是会过期:
access_token
编辑:请参阅此PODIO Thread,它提出了相同的问题,但似乎没有给出有关 Oauth2.0 协议的 PODIO 实现的任何结论性答案。
【问题讨论】:
你的问题的答案:
这是否意味着 refresh_token 将无限期有效还是会过期?
...可以从 OAuth 2.0 规范的section 1.5 和section 10.4 得出结论。
第 1.5 节 refresh_token 状态介绍:
刷新令牌由授权服务器下发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取范围相同或更窄的额外访问令牌(访问令牌可能有一个比资源所有者授权的生命周期更短,权限更少)
第 10.4 节 refresh_token 状态的安全注意事项:
只要可以验证客户端身份,授权服务器必须验证刷新令牌和客户端身份之间的绑定。当无法进行客户端身份验证时,授权服务器应该部署其他方法来检测刷新令牌滥用。
例如,授权服务器可以使用刷新令牌轮换,其中每次访问令牌刷新响应都会发出一个新的刷新令牌。先前的刷新令牌已失效,但由授权服务器保留。如果刷新令牌被破坏并随后被攻击者和合法客户端使用,其中一个将提供一个无效的刷新令牌,这将通知授权服务器违规行为。
可以得出结论,如果authorization_server能够验证refresh_token和它所发给的客户端之间的绑定,那么refresh_token可以用来获取多个access_token并且永远不会过期。否则,授权服务器将使旧的refresh_token 失效,并在每次访问令牌刷新响应时生成新的refresh_token。
【讨论】:
refresh_token 相关的身份验证,因此我看不到他们如何验证refresh_token 和客户端之间的绑定。它也不会应用轮换原则,因为refresh_token 在收到新的access_token 时保持不变。请参阅此线程,我认为该线程对我的问题没有任何决定性的答案:Podio thread
刷新令牌将在创建后 X 天(或小时)过期。根据您的安全要求,此到期时间为 1 个月或 1 小时。
您必须在做出决定时注意功能和安全性等某些方面。
【讨论】:
refresh_token无效并要求一个新的?
refresh_token 过期,那么它将无限期有效吗?
刷新令牌将最终过期或失效,您应该做好准备。
两种情况:
面向用户的服务(例如:授权授予流程)- 忽略这个问题也许没问题,因为人们善于关闭它并再次打开,也就是刷新页面:-)
服务器端长期运行服务(例如:客户端凭据流) - 您应该准备好应对访问或刷新令牌都不起作用并从头开始重新启动身份验证的情况。
刷新令牌可能有也可能没有到期时间,具体取决于您的提供商,它们永远不会过期,只要它们最近被使用过,以月或以小时为单位。依靠您将收到带有刷新访问令牌的新刷新令牌这一事实可能会很棘手。
超时并不是令牌失效的唯一方式。考虑oauth0 中描述的以下场景:
虽然刷新令牌通常是长期存在的,但授权服务器 可以使它们无效。刷新令牌可能不再存在的一些原因 有效包括:
- 授权服务器已撤销刷新令牌
- 用户已撤销对授权的同意
- 刷新令牌已过期
- 资源的身份验证策略已更改(例如, 最初该资源仅使用用户名和密码,但现在它 需要 MFA)
此外,令牌(访问、刷新)可以存储在身份验证提供程序服务的非持久存储中,因此如果服务重新启动(崩溃、更新),您的令牌可能会消失。
如果您正在编写需要可靠的长期运行服务,请不要依赖于能够通过刷新令牌永远刷新已授予的身份验证。
【讨论】: