OAuth 刷新令牌是移动设备标识符的有效/安全替代方案吗

Question

由于我主要是后端开发人员，因此在这里作为移动应用程序的相对 n00b 询问。

我们正在构建一个移动应用程序，并且对用户的设备进行唯一标识并在后端注册的业务要求（即用户可以安装应用程序，但要访问他们需要向我们的后端服务注册该设备的服务，并且有可以同时注册的 X 台设备的限制）。

前端团队目前已经创建了一个函数来从移动设备中提取唯一的设备 ID，但安全团队还告诉我们，设备 ID 被视为敏感信息，我们不应通过网络传输此信息。

除了可以对设备 ID 应用加密之外，我一直在考虑设备 ID 的替代方案。我们使用 OAuth 进行身份验证，并且在有效注册结束时，会生成 OAuth 访问和刷新令牌。由于刷新令牌应该是长期存在的并且被安全地（假定）存储在客户端，刷新令牌可以用作设备 ID 的替代品吗？这个策略会有任何已知的漏洞吗？根据文档，刷新令牌应该是“长期存在的”，但究竟存在多长时间？

Answer 1

您可以配置 Oauth2 令牌的生命周期，但这会破坏 Oauth2 的目的。如果设备遭到入侵，您将如何处理。您必须使令牌无效。

使用设备 ID 是可行的方法，如果它是普遍唯一的，或者您确定不会发生冲突。

我建议您使用设备 ID 并保留 Oauth2 的默认行为。

Answer 2

您应该使用 SHA256 对设备 ID 进行哈希处理。 OAuth 令牌是易变的，甚至在某些时候刷新令牌。