Miért van szükségem frissítési tokenre, ha hozzáférési tokennel rendelkezem?
Miért kell tokenek
A kiszolgálóval kommunikáló alkalmazások fejlesztésekor általában a következő lépések jelennek meg:
Miért van szükség az első tokenre?
Miért van szükségem egy második tokenre?
A tokenek használata a következő:
- A felhasználó bejelentkezik az alkalmazásba, átadva a bejelentkezési és a jelszót a kiszolgálónak. Nem tárolódnak az eszközön, és a szerver két tokenet és életciklusát adja vissza
- Az alkalmazás tárolja a tokeneket, és hozzáférési tokeneket használ a későbbi kérelmekhez
- Amikor a hozzáférési token élettartama véget ér (az alkalmazás maga ellenőrizheti, vagy megvárhatja, amíg a szerver a következő használat során "hoppá, mindent" válaszol), az alkalmazás frissítési tokenet használ. a tokenek frissítése és a hozzáférési token használatának folytatása
Miért van szükségünk egy második jelzésre?
1. eset: Bob felismerte Alice jelzőit, és nem használta a frissítést
Ebben az esetben Bob hozzáférést kap a szolgáltatáshoz a hozzáférési token élettartamához. Miután lejárt, és az alkalmazás, amelyet az Alice használ, frissítési tokenet fog használni. a szerver visszaküldi az új zsetont, és azokat, amelyeket Bob megtanul, egy sütőtök lesz.
2. eset: Bob felismerte Alice zsetonjait és a frissítést
Így a frissítési + hozzáférési token séma korlátozza azt az időpontot, amikor a támadó hozzáférhet a szolgáltatáshoz. Összehasonlítva egy jelzővel, amelyet egy támadó hetekig használhat, és senki sem tud róla.