在 Java 应用程序中安全地存储刷新令牌

Question

假设我们有一个非常简单的 Java 应用程序，它编辑远程服务器上的资源，并使用访问令牌进行身份验证。应用程序总是使用相同的身份，所以它总是使用相同的客户端 id、秘密和刷新令牌来获取访问令牌。

整个身份验证过程应该在没有用户干预的情况下完成，应用程序应该执行用户从另一个应用程序自动触发的操作。另一个应用正在发送 HTTP 请求，但整个内容只能在内部网络中访问，并且没有“合法”的方式可以在外部访问它。

有没有办法在我的应用程序中安全地保存这些数据（刷新令牌、客户端 ID、机密...）？

我看到过类似的问题，但他们都谈到了网站和 cookie，但这应该发生在幕后，没有任何前端等，所以我认为这些不适用于我的问题。

编辑：应用程序将部署在内部服务器上，因此它不是桌面解决方案。基本上有一个内部应用程序会向我发送 HTTP 请求，从而在内部网络之外的远程服务器上触发编辑。

Answer 1

将客户端机密、访问令牌、刷新令牌等存储在持久性存储中并不是一个好主意，除非它存储在机密存储（如 Vault）中。但还有其他选择。

如果您使用的是 Spring，那么您可以使用 Spring OAuth2RestTemplate，否则您可以通过查看代码来编写类似的内容。

它透明地获取或更新访问令牌并缓存以避免往返授权服务器。

Answer 2

最简单的选择是使用内存存储，但如果由于您需要处理重启等问题而无法使用，操作系统会为每个用户提供安全存储。这是 OAuth 桌面或控制台客户端有时使用的模型：

• Windows 上的凭据管理器
• macOS 上的钥匙串
• Linux 上的密码和密钥

通过使用诸如java-keytar 之类的库，需要一些本机互操作来与这些凭据存储进行交互。

桌面示例

要比较的东西，请参阅我的这些资源：

• Node.js desktop keytar code
• 这个blog post在结尾有一些相关的截图