代码之家  ›  专栏  ›  技术社区  ›  JRichardsz

安全服务器验证阶段如何区分刷新令牌和访问令牌?

stormpath auth0 jwt oauth-2.0 security
  •  0
  • JRichardsz  · 技术社区  · 5 年前

    我知道 concept and purpose

    让我们假设一个具有基本令牌响应的登录端点: 

    http://acme.com/login

{
    "access_token": "AYjcyMzY3ZDhiNmJkNTY",
    "refresh_token": "RjY2NjM5NzA2OWJjuE7c",
    "expires_in": 3600
}

    这两个令牌都是由安全服务器使用其算法(secret和claims)生成的

    因此,当access_令牌过期时,我需要使用诸如 

    http://acme.com/oauth/token

    发送刷新令牌

    假设这些令牌具有不同的字符串值和不同的过期时间,但是它们是用相同的 秘密、主张或算法

    我需要在安全服务器后端实现刷新令牌生成和验证。

    如何区分访问令牌和刷新令牌?

    当前解决方法

    添加额外的索赔(例如 type=刷新 )仅用于刷新令牌,因此当我在安全服务器中接收到令牌字符串并对其进行解码时,此声明有助于确定接收到的字符串是否是刷新令牌而不是访问令牌。

    0 回复  |  直到 5 年前
    推荐文章
    Derek Megyesi  ·  可能来自Sendgrid的时事通讯或垃圾邮件(通过Auth0)
    2 年前
    we.are  ·  如何从js文件访问html文件中的auth0对象
    6 年前
    pavel  ·  沙马林。android+auth0身份验证错误:net:ERR\u UNKNOWN\u URL\u SCHEME
    6 年前
    Taylor Austin  ·  /api/v2/users/{id}缺少身份验证Auth0
    6 年前
    Taylor Austin  ·  Auth0令牌端点身份验证方法是否已淡出?
    6 年前
    Taylor Austin  ·  历史将“history/createBrowserHistory”中的“not working”替换为Auth0
    6 年前
    Molnfront  ·  在AWS Lambda中维护会话状态
    6 年前
    Jon Sanders  ·  如何在netlify中为自定义域配置Auth0回调?
    6 年前
    Shaun O' Neill  ·  如何查看存储在JWT中的数据?使用auth0和express jwt
    7 年前
    Daniel Watrous  ·  Firebase云函数多次执行
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号