ACCESS_TOKEN与FRESH_TOKEN
来源:互联网 发布:自然知彼护肤品 编辑:程序博客网 时间:2024/05/16 02:13
OAuth1.0中的access_token过期时间通常很长,安全性差。于是OAuth2.0推出了refresh_token。
OAuth2.0中,客户端用账户名,密码经过一定方式(比如先请求code),获得ACCESS_TOKEN,expire_in与refresh_token。
然后在expire_in到期的时候,通过refresh_token获得新的access_token,expire_in,与refresh_token。
refresh_token也有过期时间,当refresh_token过期的时候,则需要用户重新授权登录。
注意:
refresh_token只有在用户长期没有请求的情况下才会过期,因为每次请求token都会获得新的值。
那么这里有个风险:基本上,黑客一旦获得用户的access_token与refresh_token,而且用户之后的一段时间都没有更新,或者不再用这个app了,那么黑客就可以一直以用户的身份进行一些访问。
当然,如果用户在别的地方再次通过用户名密码登录的话,则原来的access_token与refresh_token自然失效。
进而想到,为了防止一次泄露,造成一段时间内的账户不安全,app客户端应该在后台自动定时用refresh_token请求新的token值。这样,token及时变更,旧token有效时间减少,安全性也可得到一定的提高。
参考文章:
http://blog.csdn.net/wenlei_zhouwl/article/details/7256082
http://www.cnblogs.com/dudu/p/oauth-refresh-token.html
- ACCESS_TOKEN与FRESH_TOKEN
- ACCESS_TOKEN与FRESH_TOKEN
- access_token
- 微信access_token存储与更新
- 微信access_token存储与更新
- 获取access_token与生成永久二维码
- 微信access_token全局存储与缓存
- 微信开发中网页授权access_token与基础支持的access_token异同
- 微信开发中网页授权access_token与基础支持的access_token异同
- facebook, linkedin, twitter中access_token 与password的关系
- 微信&java 开发6 全局缓存access_token与jsapi_ticket
- nodejs中微信公众号开发-access_token获取与保存
- 微信公众号之access_token获取与管理
- 微信开发中网页授权access_token与基础支持的access_token异同 问题1:网页授权access_token与分享的jssdk中的access_token一样吗? 答:不一样。网页授
- 获取access_token
- 6. access_token
- 微信公众平台开发—access_token的获取存储与更新(Python开发)
- 微信公众平台开发4-access_token获取与保持有效性
- 1017. A除以B (20)
- 【php】intval()函数
- 控制按钮是否可用
- Yii框架的CSRF验证
- zzulioj--1637--Happy Thanksgiving Day - WoW yjj!(水)
- ACCESS_TOKEN与FRESH_TOKEN
- Android客户端使用highcharts进行图表展示
- 点石成金:访客至上的网页设计秘笈
- VS2010中配置opencv详细过程
- WCF入门(一)
- linux 启动流程分析
- gerrit配置管理
- HDOJ 1249 三角形
- AngularJS探秘(二)——angularJS中controller与directive双向通信