我正在使用 jwt 访问和刷新令牌模式。这意味着客户端需要在标头中发送 2 个 jwt 令牌。目前,我只是这样做:
'Authorization': 'Bearer ' + user.accessToken + ' ' + user.refreshToken
然后在我的服务器上,我 split() req 授权标头,因为我知道[3]是访问令牌,[4]是刷新令牌,然后我有我的令牌。这种安全方法有什么问题吗?我更新 fetching/auth 并且知道有特定的做法可以遵循,并且这可能打破了'Bearer'的正常使用情况,但它确实有效,所以如果没有任何安全缺点,我想使用此解决方案。我正在自己实现身份验证,不需要与其他人集成,所以不需要 Oauth2。
1 回答
我正在使用 jwt 访问和刷新令牌模式。我很抱歉,但事实并非如此。你制造了一个令人难以置信,不安全的令牌混合物,最终不会给你任何回报。这就是原因。
访问令牌背后的想法是第三方服务可以使用它来授权用户。
刷新令牌背后的想法是用户可以随时发出一对新的访问/刷新令牌。
你做什么:
你实际上允许任何第三方拥有访问和刷新令牌,这意味着如果我是恶意第三方,我可以使用刷新令牌将用户留在我的系统中(通过获取我自己的访问令牌并一直更新它)和代表用户永远行事
您将 double-size 标记附加到标头,并且 JWT 因请求标头的大小而众所周知。因此,只要通常刷新令牌与访问令牌的大小几乎相同,您就可以解决问题
你什么也没回来实际上胜利是什么?