ACCESS_TOKEN与FRESH_TOKEN

OAuth1.0中的access_token过期时便万分丰硕,安全性差。于是OAuth2.0生产了refresh_token。

OAuth2.0挨,客户端用账户称,密码通过一定艺术(比如先请求code),得到ACCESS_TOKEN,expire_in与refresh_token。 
然后在expire_in到期之时节,通过refresh_token拿到新的access_token,expire_in,与refresh_token。 
refresh_token也发出逾期时,当refresh_token过期的时,则需用户还授权登录。 
注意: 
refresh_token唯有当用户长期并未请求的场馆下才会过,因为老是要token都会晤沾新的价。

那么这里发生只高风险:基本上,黑客一旦得到用户之access_token与refresh_token,而且用户之后的一段时间都不曾革新,或者不再用者app了,那么黑客就是可以直接以用户之身份展开一些看。 
当,要是用户在其余地点更通过用户名密码登录的话,则原来的access_token与refresh_token自然失效。

接着想到,为了防备同一差泄露,造成一段时间内的账户不安全,app客户端应该于后台自动定时用refresh_token请求新的token值。这样,token及时更改,旧token有效时间压缩,安全性也不过获肯定的加强。

摘自:

http://blog.csdn.net/dskwe/article/details/50493616

参考作品: 
http://blog.csdn.net/wenlei\_zhouwl/article/details/7256082 
http://www.cnblogs.com/dudu/p/oauth-refresh-token.html

相关文章