2015-10-22 8 views
0

Я работаю над приложением, которое использует систему аутентификации на основе токенов, где пользователь предоставляет свое имя пользователя/пароль и получает в ответ токен (токен сохраняется в базе данных также). Затем последующие запросы будут включать этот токен в качестве настраиваемого заголовка, и мы можем использовать его для идентификации пользователя. Все это прекрасно работает.Пользовательский (не-OAuth) Реализация обновления токена

Прямо сейчас, если пользователь не заходил на 3 дня, мы теряем токен. Я немного читал об обновлении токенов в OAuth, и мне было интересно, смогу ли я каким-то образом реализовать что-то подобное. то есть при предоставлении токена аутентификации, я также предоставляю токен обновления, который может быть использован позже, чтобы запросить новый токен аутентификации. С точки зрения безопасности, похоже, это похоже на то, что он никогда не заканчивает аутентификацию пользователя. Должен ли я отправлять дополнительную информацию с токеном обновления для проверки пользователя?

ответ

-1

В OAuth2 сервер ресурсов и сервер авторизации часто не совпадают.

Рефлекторный токен отправляется обратно клиенту, когда маркер доступа выдается и когда токен обновляется. Клиент должен аутентифицироваться (используя идентификатор клиента и секрет клиента), чтобы использовать токен обновления. Сервер ресурсов никогда не видит токен обновления.

Кроме того, токены доступа не хранятся на стороне сервера, так как они имеют ограниченный срок службы. Обновленные токены сохраняются и поэтому могут быть отменены.