Perché usare il token di aggiornamento oAuth2 è più sicuro, quindi rigenerare un access_token?

1

Sto implementando un'autenticazione oAuth2 per proteggere il mio REST Api.
Poiché sto implementando oAuth2, devo generare un access_token che mi consenta di accedere temporaneamente ai miei dati REST. Per farlo, invio semplicemente una richiesta HTTP con id e secret , che restituisce access_token e refresh_token . Questa è la prima volta che implemento oAuth2 e ho fatto qualche ricerca su cosa sono access_token e refresh_token .
Sembra che tutti dicano che refresh_token deve essere conservato in modo sicuro , perché consente di rigenerare un access_token . Da quello che ho capito, i token di aggiornamento sono longevi, mentre il token di accesso scade velocemente e non ha bisogno di sicurezza quanto il token di aggiornamento, perché scade velocemente. Sono in grado di usare quel refresh_token per ottenere un nuovo access_token , usando lo stesso id e lo stesso secret che uso per generare il mio primo access_token .

Le mie domande sono :

  1. Perché utilizziamo i token di aggiornamento se hanno bisogno di molta sicurezza, mentre potremmo rigenerare un accesso ogni volta che scade?
  2. Si tratta solo di controllare più velocemente l'identità di chi sta inviando la richiesta?

Mi scuso se non chiedo nel giusto sito StackExchange.

    
posta Nark 04.05.2018 - 12:50
fonte

1 risposta

0

È per comodità dell'utente. Dover inserire le proprie credenziali di accesso troppo spesso è fastidioso per gli utenti. Ovviamente, se questo non è un problema, non puoi semplicemente usare refres_token , il che migliorerebbe un po 'la sicurezza. Tuttavia, agli utenti generalmente non piace accedere spesso e forzarli a fare in modo che facciano qualcosa di non sicuro, come ad esempio memorizzare la password nel browser o disabilitare 2FA, da qui l'uso di refres_token .

    
risposta data 04.05.2018 - 12:56
fonte

Leggi altre domande sui tag