Sto implementando un'autenticazione oAuth2 per proteggere il mio REST Api.
Poiché sto implementando oAuth2, devo generare un access_token
che mi consenta di accedere temporaneamente ai miei dati REST.
Per farlo, invio semplicemente una richiesta HTTP con id
e secret
, che restituisce access_token
e refresh_token
. Questa è la prima volta che implemento oAuth2 e ho fatto qualche ricerca su cosa sono access_token
e refresh_token
.
Sembra che tutti dicano che refresh_token
deve essere conservato in modo sicuro , perché consente di rigenerare un access_token
. Da quello che ho capito, i token di aggiornamento sono longevi, mentre il token di accesso scade velocemente e non ha bisogno di sicurezza quanto il token di aggiornamento, perché scade velocemente. Sono in grado di usare quel refresh_token
per ottenere un nuovo access_token
, usando lo stesso id
e lo stesso secret
che uso per generare il mio primo access_token
.
Le mie domande sono :
- Perché utilizziamo i token di aggiornamento se hanno bisogno di molta sicurezza, mentre potremmo rigenerare un accesso ogni volta che scade?
- Si tratta solo di controllare più velocemente l'identità di chi sta inviando la richiesta?
Mi scuso se non chiedo nel giusto sito StackExchange.