为什么要使用refresh token?为何会更安全?

普通的token方案 有效期设置过长不安全,过短需要频繁重新登录,体验差。

access token 有效期短,如果被盗损失更小,所以安全性更高。
如果refresh token被盗了,想刷新access token的话,也需要提供过期的access token。盗取难度增加。

同时refresh token只有在第一次获取和刷新access token时才会在网络中传输
被盗的风险远小于access token 从而在一定程度上更安全了一点
所谓的更安全就是让盗取信息者更不容易获得而已。

参考文章:
没有理解refresh token的必要性或者说其为何比access token安全 - Java技术 - Java - 水木社区 (newsmth.net)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容