您好,匿名用户

api设计中refreshtoken的安全性

0 投票

登录后服务端会返回一个Accesstoken和 refreshToken,,,accesstoken的有效期为两个小时,,refreshtoken的有效期为两个月。
在accesstoken过期之后需要携带accesstoken去请求刷新接口获取新的accesstoken 避免了重复登录。

不过现在都问题就是 refreshtoken要是泄露了咋办,,别人拿到这个直接利用refreshtoken就得到了accesstoken 各位都用什么办法解决?

用户头像 提问 5月16日 @ Rider 中士 (1,266 威望)
分享到:

1个回答

0 投票
 
最佳答案

refreshtoken也有过期时间,只不过是相对accesstoken时间长点而已。

你考虑泄露refreshtoken的话,那accesstoken也有泄露的可能,至少在有效期内可以使用accesstoken请求接口了

用户头像 回复 5月16日 @ Kennen 上士 (1,557 威望)
选中 5月12日 @Rider
提一个问题:

相关问题

0 投票
1 回复 3 阅读
用户头像 提问 5月4日 @ Akali 中士 (1,137 威望)
0 投票
1 回复 13 阅读
0 投票
0 回复 14 阅读
0 投票
1 回复 103 阅读
0 投票
1 回复 138 阅读
用户头像 提问 2017年 2月15日 @ Apple 上士 (1,872 威望)

欢迎来到随意问技术百科, 这是一个面向专业开发者的IT问答网站,提供途径助开发者查找IT技术方案,解决程序bug和网站运维难题等。
温馨提示:本网站禁止用户发布与IT技术无关的、粗浅的、毫无意义的或者违法国家法规的等不合理内容,谢谢支持。

欢迎访问随意问技术百科,为了给您提供更好的服务,请及时反馈您的意见。
...