Sto implementando un'autenticazione oAuth2 per proteggere il mio REST Api.
Poiché sto implementando oAuth2, devo generare un access_token che mi consenta di accedere temporaneamente ai miei dati REST.
Per farlo, invio semplicemente una richiesta HTTP con id e secret , che restituisce access_token e refresh_token . Questa è la prima volta che implemento oAuth2 e ho fatto qualche ricerca su cosa sono access_token e refresh_token .
Sembra che tutti dicano che refresh_token deve essere conservato in modo sicuro , perché consente di rigenerare un access_token . Da quello che ho capito, i token di aggiornamento sono longevi, mentre il token di accesso scade velocemente e non ha bisogno di sicurezza quanto il token di aggiornamento, perché scade velocemente. Sono in grado di usare quel refresh_token per ottenere un nuovo access_token , usando lo stesso id e lo stesso secret che uso per generare il mio primo access_token .
Le mie domande sono :
- Perché utilizziamo i token di aggiornamento se hanno bisogno di molta sicurezza, mentre potremmo rigenerare un accesso ogni volta che scade?
- Si tratta solo di controllare più velocemente l'identità di chi sta inviando la richiesta?
Mi scuso se non chiedo nel giusto sito StackExchange.