 |
isekiV2EX 第 379936 号会员,加入于 2019-01-24 22:46:21 +08:00今日活跃度排名 25867 |
iseki_zero
iseki.space
iseki_zero
iseki0
iseki 最近回复了
1 天前 回复了 lusxh 创建的主题 › 程序员 › 同志们,技术问题来了,大家讨论下, jwt 续签为什么要使用双 token |
另外就是,实践上,Refresh Token 也必须接受更严格的安全审计,甚至可能需要使用单棘轮之类的技巧来提高安全性
1 天前 回复了 lusxh 创建的主题 › 程序员 › 同志们,技术问题来了,大家讨论下, jwt 续签为什么要使用双 token |
举例这里粘贴一下《 OAuth 2.0 授权框架》中对角色的定义:
> resource owner
> An entity capable of granting access to a protected resource. When the resource owner is a person, it is referred to as an end-user.
> resource server
> The server hosting the protected resources, capable of accepting and responding to protected resource requests using access tokens.
> client
> An application making protected resource requests on behalf of the resource owner and with its authorization. The term "client" does not imply any particular implementation characteristics (e.g., whether the application executes on a server, a desktop, or other devices).
> authorization server
> The server issuing access tokens to the client after successfully authenticating the resource owner and obtaining authorization.
抛开 RO 不谈,RS Client(UA) AS 是三个不同的角色,refresh token 是不应该提供给 RS 的
> resource owner
> An entity capable of granting access to a protected resource. When the resource owner is a person, it is referred to as an end-user.
> resource server
> The server hosting the protected resources, capable of accepting and responding to protected resource requests using access tokens.
> client
> An application making protected resource requests on behalf of the resource owner and with its authorization. The term "client" does not imply any particular implementation characteristics (e.g., whether the application executes on a server, a desktop, or other devices).
> authorization server
> The server issuing access tokens to the client after successfully authenticating the resource owner and obtaining authorization.
抛开 RO 不谈,RS Client(UA) AS 是三个不同的角色,refresh token 是不应该提供给 RS 的
1 天前 回复了 lusxh 创建的主题 › 程序员 › 同志们,技术问题来了,大家讨论下, jwt 续签为什么要使用双 token |
还有一个原因,刷新 token 和认证 token 未必是供同一方读取的。在一个职责完全分离的体系里,AS(认证服务器)和 RS(资源服务器)未必具有同样的安全基线,甚至未必是由同一实体控制。很显然,无限期有效的令牌必须不能被 UA(用户代理——客户端)和 AS 以外的第三者读取,否则角色就要混同了。
9 天前 回复了 Moishine 创建的主题 › git › 我宣布,最好的 git 客户端是腾讯家的 ugit |
tortoisegit 虽然丑了点,但这是少数把 git 功能做全做好了的。至于丑,它只是原生 UI 罢了,可访问性恐怕是这些里最好的。
13 天前 回复了 drymonfidelia 创建的主题 › 程序员 › 这 3 年大厂业务频繁故障是不是推行 vibe coding 导致的? |
降本增效和屎山堆积相辅相成,裁大动脉点个火,知道坑的人不在了,新来个人把系统弄炸了这是常态
20 天前 回复了 egoist523911 创建的主题 › 程序员 › 有人用过 JetBrains 家的 ai-assistant 吗? |
按账户来的,不知道看不看账单地址。
用了下我觉得还行,至少在生成 git commit message 上还是可以的。缺点就是额度有点少,没法敞开了用。
用了下我觉得还行,至少在生成 git commit message 上还是可以的。缺点就是额度有点少,没法敞开了用。
21 天前 回复了 moudy 创建的主题 › C++ › 再一次感觉到 C++的恶心 |
这个和社会分配问题不同,
21 天前 回复了 moudy 创建的主题 › C++ › 再一次感觉到 C++的恶心 |
Select Language