Pourquoi Ne OAuth v2 Ont à la Fois l'Accès et l'Actualisation des Jetons?

La Section 4.2 du projet de protocole OAuth 2.0 protocole indique qu'un serveur d'autorisation peut renvoyer à la fois un access_token (qui est utilisé pour authentifier soi-même avec des ressources) ainsi que d'un refresh_token, qui est utilisé uniquement pour créer un nouveau access_token:

https://tools.ietf.org/html/rfc6749#section-4.2

Pourquoi avoir les deux? Pourquoi ne pas simplement faire la access_token durer aussi longtemps que la refresh_token et ne pas avoir un refresh_token?

InformationsquelleAutor dave mankoff | 2010-08-15
  1. 411

    L'idée de l'actualisation des jetons, c'est que si un jeton d'accès est compromis, car il est de courte durée, l'attaquant dispose d'un temps limité pour en abuser.

    Actualisation des jetons, si compromise, sont inutiles parce que l'attaquant doit avoir l'id du client et le secret en outre à l'actualisation de jeton afin d'obtenir un jeton d'accès.

    Avoir dit que, parce que chaque appel à la fois à l'autorisation du serveur et le serveur de ressources se fait sur SSL - y compris l'original d'identification du client et secret lorsqu'ils demandent l'accès/actualiser les jetons - je ne sais pas comment le jeton d'accès est plus "compromisable" que la longue durée de vie de rafraîchissement jeton et clientid/combinaison secrète.

    Bien sûr, cela est différent pour les implémentations où vous n'avez pas le contrôle de la demande d'autorisation et de ressources serveurs.

    Ici est un bon fil de parler au sujet de l'utilisation de l'actualisation des jetons: OAuth Archives.

    Un devis à partir de ci-dessus, de parler de la sécurité fins de l'actualisation du jeton:

    Actualisation des jetons... atténue le risque d'une longue durée de vie access_token fuite (requête de paramètre dans un fichier journal sur une base solide de ressources de serveur, bêta ou mal codé de ressources de serveur d'application, JS SDK client sur un autre site en https, qui met l'access_token dans un cookie, etc)

    • Catchdave est juste, mais pensé que je voudrais ajouter que les choses ont évolué depuis sa première réponse. L'utilisation de SSL est maintenant facultatif (ce qui était probablement encore l'objet de discussions lors de la catchdave répondu). Par exemple, MAC jetons (actuellement en développement), offrent la possibilité de signer la demande avec une clé privée de sorte que SSL n'est pas nécessaire. Actualiser les jetons donc un rôle très important puisque vous voulez avoir de courte durée mac jetons.
    • "Actualisation des jetons, si compromise, sont inutiles parce que l'attaquant doit avoir l'id du client et le secret en outre à l'actualisation de jeton afin d'obtenir un jeton d'accès." Mais l'id du client et le secret est également stockée dans l'appareil, n'est-ce pas? Si un utilisateur malveillant d'accéder à l'appareil peut les obtenir. Alors pourquoi? Ici, github.com/auth0/lock/wiki/Using-a-Refresh-Token , Il est écrit que de perdre un jeton d'Actualisation moyen, il peut demandes que de nombreux auth jetons comme il veut, peut-être pas dans les googles scénario, mais si je mets en place mon propre oauth2 serveur?
    • Je crois que l'idée de renouveler le jeton d'accès est: il peut être deviné par simplement les bombardements de l'hôte au hasard des jetons. En supposant que l'attaquant n'a pas accès à l'appareil, mais simplement essayer de détourner une session active en devinant le jeton. Si l'attaquant obtient l'accès à d'autres informations d'actualisation jeton, ID, secret), alors il n'y a pas beaucoup qui peut être fait exception en s'appuyant sur certaines approches heuristiques comme la collecte de l'appareil empreintes digitales et de les entreposer pour l'utilisateur, et ainsi d'améliorer le permet de la découverte d'une possible tentative d'intrusion.
    • "L'attaquant nécessite l'identification du client et le secret en outre à l'actualisation de jeton afin d'obtenir un jeton d'accès": alors quelle est la différence entre l'utilisation d'un jeton d'actualisation et simplement la démission?
    • Actualiser jeton peut être utilisé par un tiers qui peut renouveler le jeton d'accès sans aucune connaissance de l'identification de l'utilisateur.
    • Je pensais que le client id+secret et des informations d'identification des utilisateurs sont la même chose? Avez-vous besoin de l'id+secret/identification de l'utilisateur pour obtenir un nouveau jeton d'accès ou pas?
    • Non, l'identification du client et le secret sont les informations d'identification du client OAuth, pas l'utilisateur. Lorsque l'on parle de OAuth le "client" est généralement un serveur (par exemple la stackoverflow serveur web) qui s'interface avec une autorisation ou d'une ressource de serveur API (par exemple le facebook auth fournisseur). Les identifiants de l'utilisateur ne sont transmises entre l'utilisateur et le serveur API OAuth, et n'a jamais connue pour le client. Le client secret est transmis uniquement à partir du client vers le serveur API OAuth, et n'est jamais connu à l'utilisateur.
    • Si ma compréhension est bonne, n'est pas de savoir le secret partagé tout ce qui est nécessaire pour l'authentification de serveur à signer et à donner un nouveau jeton d'accès valide? Si le client est déjà en envoyant un secret partagé avec le jeton d'actualisation, alors quel est le rôle de l'actualisation jeton jouer dans le processus? Est-il données à l'intérieur d'un jeton d'actualisation qui devient bénéfique dans l'actualisation de l'étape, d'autres que je suppose que l'auth server savoir si c'est un jeton expiré ou pas?
    • Vous avez besoin de passer 2 les défis pour obtenir un jeton d'accès. Vous devez d'abord prouver que vous êtes un client enregistré, ce qui est toujours le cas en précisant votre IDENTIFIANT client et de secret. Deuxièmement, vous devez prouver que vous avez l'autorisation d'accès de l'utilisateur des ressources sur son nom. Cette deuxième partie se passe dans les 2 sens dans le auth code flow. Tout d'abord, vous obtenez l'utilisateur de se connecter directement à l'auth fournisseur, et vous recevez en retour un code à votre redirect URI. Par la suite, vous utilisez le jeton d'actualisation au lieu de l'auth code, de sorte que l'utilisateur n'a pas à se connecter à nouveau une fois l'original jeton d'accès expire.
    • J'ai en quelque sorte de la première auth partie qui comprend les logins/informations d'identification pour récupérer l'accès et l'actualisation des jetons. Si le jeton d'actualisation juste des doubles de vos informations d'identification, sans réellement besoin de votre mot de passe à nouveau, mais l'id client/secrets sont encore nécessaires? L'actualisation de l'étape implique généralement de traiter avec l'état? Comme vérifier si le jeton d'actualisation est toujours valide/non révoqué si vous avez une option de mise en œuvre?
    • oui, vous pouvez un peu penser à cela comme une référence à l'ancien utilisateur de subventions d'accès, ce qui impliquerait non seulement les identifiants de l'utilisateur ont été saisies, mais aussi spécifiquement les ressources auxquelles ils ont accordé l'accès. J'ai vu le jeton d'actualisation sera émis avec certaines métadonnées avant, comme TTL, si c'est ce que vous vous demandez. Mais, habituellement, le auth server DOIT vous donner une pertinente réponse d'erreur lorsque vous essayez d'utiliser un expiré, révoqué ou invalide jeton d'actualisation. Regardez les oauth2 spec section 4.1 "code d'autorisation de la subvention". C'est assez lisible autant que les spécifications aller

    InformationsquelleAutor catchdave
  2. 515

    Le lien de la discussion, fournis par Catchdave, a un autre valide du point de (original, lien mort) de Dick Hardt, qui, je crois, mérite d'être mentionné ici, en plus de ce qui a été écrit ci-dessus:

    Mon souvenir de l'actualisation des jetons était pour la sécurité et la révocation.
    <...>

    révocation: si le jeton d'accès est autonome, l'autorisation peut être révoquée par la non-délivrance de nouveaux jetons d'accès. Une ressource n'a pas besoin d'interroger le serveur d'autorisation pour voir si le jeton d'accès est valide.Cela simplifie l'accès jeton de validation et le rend plus facile à l'échelle et prendre en charge plusieurs serveurs d'autorisation. Il y a une fenêtre de temps où un jeton d'accès est valide, mais l'autorisation est révoquée.

    En effet, dans la situation où les Ressources Serveur et le Serveur d'Autorisation de la même entité, et où la connexion entre l'utilisateur et l'un d'eux est (généralement) au même niveau de sécurité, il n'y a pas beaucoup de sens de garder le jeton d'actualisation séparé du jeton d'accès.

    Bien que, comme mentionné dans le devis, un autre rôle de l'actualisation des jetons est d'assurer le jeton d'accès peut être révoquée à tout moment par l'Utilisateur (via l'interface web, dans leurs profils, par exemple) tout en conservant un système évolutif dans le même temps.

    Généralement, les jetons peuvent être aléatoires identificateurs pointant vers le dossier dans le Serveur de base de données, ou ils peuvent contenir toutes les informations en elles-mêmes (certes, cette information doit être signé, avec MAC, par exemple).

    Comment le système avec la longue durée de vie des jetons d'accès devraient travailler

    Le serveur permet au Client d'obtenir l'accès aux données de l'Utilisateur à l'intérieur d'un ensemble pré-défini des étendues par l'émission d'un jeton. Comme nous voulons garder le jeton révocable, il faut stocker dans la base de données le jeton avec le drapeau "révoqué" ou unset (sinon, comment voulez-vous faire avec l'auto-contenue jeton?) Base de données peut contenir autant que len(users) x len(registered clients) x len(scopes combination) enregistrements. Chaque demande d'API doit alors frapper la base de données. Bien qu'il est assez trivial de faire des requêtes de base de données tels que l'exécution O(1), le point de défaillance unique lui-même peut avoir un impact négatif sur l'évolutivité et les performances du système.

    Comment le système avec la longue durée de vie jeton d'actualisation et de courte durée jeton d'accès devraient travailler

    Ici, nous émettons deux clés: aléatoire actualiser jeton avec l'enregistrement correspondant dans la base de données, et signé autonome jeton d'accès, contenant entre autres l'expiration champ timestamp.

    Que le jeton d'accès est indépendant, nous n'avons pas de frapper la base de données pour vérifier sa validité. Tout ce que nous avons à faire est de décoder le jeton et de valider la signature et l'horodatage.

    Néanmoins, nous avons encore de garder la base de données de l'actualisation des jetons, mais le nombre de demandes à cette base de données est généralement défini par la durée de vie du jeton d'accès (plus la durée de vie, moins le taux d'accès à l').

    Afin de révoquer l'accès d'un Client à partir d'un Utilisateur en particulier, nous devons marquer la mise à jour jeton comme "révoqué" (ou l'enlever complètement) et d'arrêter l'émission de nouveaux jetons d'accès. Il est évident cependant qu'il y a une fenêtre au cours de laquelle le jeton d'actualisation a été révoqué, mais son jeton d'accès peut être encore valide.

    Compromis

    Actualisation des jetons partiellement éliminer les SPoF (Single Point of Failure) de Jeton d'Accès de base de données, mais ils ont quelques inconvénients évidents.

    1. La "fenêtre". Un délai entre les événements de l'utilisateur "révoque l'accès" et "l'accès est garanti d'être révoqué".

    2. La complication de la logique Client.

      sans actualiser jeton

      • envoyer la demande d'API avec jeton d'accès
      • si le jeton d'accès n'est pas valide, ne parviennent pas, et demander à l'utilisateur de s'authentifier à nouveau

      avec actualiser jeton

      • envoyer la demande d'API avec jeton d'accès
      • Si le jeton d'accès n'est pas valide, essayez de mettre à jour à l'aide jeton d'actualisation
      • si l'actualisation de la demande de passe, mise à jour le jeton d'accès et l'envoyer à nouveau la première demande d'API
      • Si l'actualisation de la requête échoue, demander à l'utilisateur de s'authentifier à nouveau

    J'espère que cette réponse ne fait sens et contribue à quelqu'un de faire plus de décision réfléchie. Je tiens à noter également que certains bien connus OAuth2 fournisseurs, y compris github et foursquare adopter le protocole sans actualisation des jetons, et semblent heureux.

    • Si je comprends bien refreshe jeton nous pouvons enregistrer en db et supprimer toutes les fois que nous voulons empêcher l'accès, alors pourquoi ne pas économiser de l'accès des jetons de soi ?
    • la version courte de mon post est, si vous enregistrez le jeton d'accès dans la base de données, vous frappez à la base de données sur toutes les demandes de votre API (qui peut ou peut ne pas être un problème dans votre cas particulier). Si vous enregistrez l'actualisation des jetons et de garder les jetons d'accès "autonome", vous frappez la base de données uniquement lorsque le client décide d'actualiser le jeton d'accès.
    • "autonome", car il n'est pas nécessaire d'ajouter une date d'expiration? Mon actuel de la mise en œuvre regarde le jeton d'accès, et si la date actuelle a dépassé la date de péremption, il est supprimé et un jeton d'actualisation est échangé pour un nouveau jeton d'accès...je me demande si c'est normal.
    • Personnellement je n'aime pas cette approche de ne pas frapper la base de données pour le gain de performance si elle va compromettre la sécurité (même si c'est seulement pour la plage de temps de la fenêtre). On devrait être en mesure de révoquer une access_token immédiatement en cas de besoin, comme presque toujours, nous avons affaire à des informations sensibles (sinon nous ne serions probablement pas être en utilisant OAuth en premier lieu). Je me demande qui approche les grandes entreprises comme Facebook et Google utiliser.
    • Je ne comprenez pas pourquoi nous devons avoir de la "fenêtre ouverte" pour un certain temps. Pourquoi ne peut-on pas envoyer une demande au serveur de ressources à ne pas accepter d'accès tokkens pour cet utilisateur? Aussi ai-je raison que vous ne pouvez pas avoir d'actualisation jeton de comportement lorsque vous n'avez pas de secrets du client à signer tokkens avec? Donc, fondamentalement, vous ne pouvez pas utiliser d'actualisation des jetons de logiciel sur cliemts appareils js,des mobiles, des applications de bureau etc.
    • le serveur de ressources n'a pas de magasin persistant en plus de la base de données et peut-être un cache local. Par conséquent, la seule façon de vérifier si un jeton est révoquée par la frappe de la base de données, qui est ce que l'ensemble de ce processus cherche à l'éviter. Pour votre 2ème question, vous ne sont pas correctes. Si vous avez un jeton d'actualisation, vous pouvez demander de nouveaux jetons d'accès.
    • Une base de données, dans l'abstrait, n'est-ce pas un point de défaillance unique. Modernes (web) styles d'architecture, tels que Reposante, supposons un système fiable (et très largement disponibles) la persistance de la couche sur laquelle à l'échelle de services sans état. Dans le béton, il y a un bon nombre de haute disponibilité des bases de données à choisir.
    • +1, pour que je pense que la véritable argument en faveur de l'actualisation des jetons - optimisation de l'accès à jeton de la base de données. (Ne peut pas voir aucune sécurité réelle advenatages)
    • Corrigez-moi si je me trompe, en disant: "Si le jeton d'accès n'est pas valide, essayez de mettre à jour à l'aide d'actualisation jeton" désigne un utilisateur a à transmettre ses informations d'identification avec jeton d'actualisation? Il est donc semblable à reconnecter
    • pouvez vous s'il vous plaît me dire la même chose en temps réel par exemple dans la façon fonctionnelle.sa a l'air plus technique
    • Lors de l'utilisation de demander des jetons avec les clients, vous pouvez envoyer la nouvelle actualisation de jeton avec sa date d'expiration dans le dispositif du client. Et la prochaine fois quand vous êtes sur le point de faire une demande d'API, consultez la stockées date d'expiration et la demande pour un nouveau jeton d'actualisation si le jeton a expiré avant de faire la demande réelle. Cela permettrait de gagner un extra appel d'API.
    • Excellente réponse!!
    • +1 pour expliquer la différence entre les ré-authentifier sur le côté client et sans un jeton d'actualisation.

    InformationsquelleAutor Roman Imankulov
  3. 159

    En dépit de toutes les grandes réponses ci-dessus, j'en matière de sécurité, étudiante à la maîtrise et programmeur qui a déjà travaillé sur eBay quand j'ai pris un coup d'oeil dans la protection de l'acheteur et de la fraude, peut dire le jeton d'accès et d'actualisation de jeton a son meilleur équilibre entre les harcelant de l'utilisateur de fréquentes nom d'utilisateur/mot de passe d'entrée et de maintien de l'autorité dans la main de révoquer l'accès potentiel abus de votre service.

    Penser à un tel scénario. Vous émettez utilisateur d'un jeton d'accès de 3600 secondes et actualiser jeton beaucoup plus longue comme un jour.

    1. L'utilisateur est un bonne de l'utilisateur, il est à la maison et se trouve sur/hors tension de votre site web shopping et la recherche sur son iPhone. Son adresse IP ne changera pas et ont une très faible charge sur votre serveur. Comme 3-5 demandes de page de chaque minute. Lors de son 3600 secondes sur le jeton d'accès est plus, il a besoin d'une nouvelle avec le jeton d'actualisation. Nous, sur le côté serveur, vérifier son historique d'activité et d'adresse IP, pense qu'il est un homme et qu'il se comporte lui-même. Nous lui accorder un nouveau jeton d'accès pour continuer à utiliser notre service. L'utilisateur n'aura pas besoin d'entrer à nouveau le nom d'utilisateur/mot de passe jusqu'à ce qu'il ait atteint un jour la durée de vie de l'actualisation jeton de lui-même.

    2. L'utilisateur est un négligent de l'utilisateur. Il vit dans New York, états-unis et a obtenu son programme de virus à l'arrêt et a été piraté par un hacker de Pologne. Lorsque le pirate a obtenu le jeton d'accès et d'actualisation de jeton, il essaie d'usurper l'identité de l'utilisateur et de l'utilisation de notre service. Mais après le court-live jeton d'accès de l'expiration, lorsque le pirate tente d'actualiser le jeton d'accès, nous, sur le serveur, a remarqué un dramatique IP du changement de comportement de l'utilisateur de l'histoire (hey, ce gars connexions aux etats-unis et maintenant l'actualisation de l'accès à la Pologne après seulement 3600s ???). Nous résilier le processus d'actualisation, la nullité de l'actualisation jeton de lui-même et l'invite à entrer le nom d'utilisateur/mot de passe de nouveau.

    3. L'utilisateur est un malveillants de l'utilisateur. Il est destiné à abuser de notre service en appelant 1000 fois notre API à chaque minute à l'aide d'un robot. Il peut bien le faire jusqu'à 3600 secondes plus tard, quand il essaie d'actualiser le jeton d'accès, nous avons remarqué son comportement et de penser qu'il pourrait ne pas être un être humain. Nous rejetons et de mettre fin au processus d'actualisation et de lui demander d'entrer le nom d'utilisateur/mot de passe de nouveau. Cela pourrait potentiellement briser son robot automatique de l'écoulement. Au moins lui fait mal à l'aise.

    Vous pouvez voir le jeton d'actualisation a agi parfaitement quand nous essayons de concilier nos travaux, l'expérience utilisateur et du risque potentiel d'un vol de jeton. Votre chien de garde sur le côté serveur peut vérifier plus de changement IP, la fréquence des appels de l'api pour déterminer si l'utilisateur doit être un bon utilisateur ou non.

    Un autre mot, vous pouvez également essayer de limiter les dégâts de contrôle de vol de jeton/abus de service par la mise en œuvre sur chaque appel d'api l'IP de base de chien de garde ou de toute autre mesure. Mais c'est cher que vous avez à lire et à écrire, l'enregistrement sur l'utilisateur et va ralentir votre réponse du serveur.

    • Avez-vous plus de précision, des politiques, comme par exemple: Ne pas révoquer jeton lorsque l'adresse IP de l'utilisateur est changé (quand le mobile téléphone se déconnecte du WiFi et se connecter au réseau 3G/4G)?
    • Ce sont quelques grands des politiques et des idées, mais je ne vois rien dans votre réponse qui, naturellement, nécessite l'utilisation d'actualisation des jetons. Toutes ces fonctionnalités peuvent être mises en œuvre avec juste le jeton d'accès.
    • l'un des avantages de l'utilisation à la fois l'accès et l'actualisation des jetons est que les jetons d'accès peut être de courte durée et, par conséquent, il n'est pas trop d'un compromis de sécurité à la confiance sans réserve, sans vérifier avec le serveur qui a initialement émis. Cela peut vous permettre de faire évoluer votre infrastructure afin que les non-parties critiques de la il peut faire confiance à l'information stockée dans l' (signé) jeton sans accès direct au compte de l'utilisateur de l'information.
    • Cerise - Oui un jeton d'accès peut être de courte durée, et il peut également être actualisé si l'utilisateur est toujours considéré comme valide. N'a pas besoin d'un jeton d'actualisation pour le faire.
    • Je crois que cette réponse suppose que nous ne voulons pas de ressources serveurs de contrôle d'accès avancé (par exemple, vérifier l'IP de l'activité à l'encontre de différentes bases de données, etc), et au lieu qu'ils ne peuvent compter que sur la vérification de l'jeton d'accès dans un isolement complet. C'est peut-être évidente à l'échelle (pour des raisons de performances), il n'est pas évident pour tout le monde ici, compte tenu de la confusion dans d'autres posts et commentaires. C'est un bon poste avec les informations belle mais je pense qu'il manque le point de la question d'origine grandement. Je recommande au moins ladite hypothèse explicite.
    • Concernant le "jeton d'accès peut être de courte durée, et il peut également être actualisé si l'utilisateur est toujours considéré comme valide" - je pense que ce que le répondeur est en venir c'est qu'un client peut être sur ebay de navigation - permet de dire que les chaussures de 3 ou 4 fois dans une période de 24 heures. La connexion doit rester "valable" pour l'ensemble de la journée ou de l'utilisateur d'obtenir très frustrés d'avoir à vous connecter. Si elles sont sur un périphérique mobile, il n'y a pas de "rafraîchissant" quoi que ce soit si l'utilisateur n'est pas actif dans cette onglet du navigateur. Mais son jeton d'accès qui est plus cher pour obtenir uniquement des besoins rafraîchissante 3 ou 4 fois.

    InformationsquelleAutor laalaguer
  4. 67

    Aucune de ces réponses rendre à la raison essentielle de l'actualisation des jetons existent. Évidemment, vous pouvez toujours obtenir un nouvel accès à jeton d'actualisation/-jeton paire en envoyant vos informations d'identification du client pour l'authentification du serveur, c'est comment vous les procurer dans la première place.

    De sorte que le seul but de l'actualiser jeton est de limiter l'utilisation des informations d'identification du client d'être envoyés sur le fil pour le service de demenagement. La durée plus courte de la durée de vie de l'accès à jeton, le plus souvent, les informations d'identification du client devra être utilisé pour obtenir un nouvel accès à jeton, et donc les possibilités de plus les attaquants ont compromis les informations d'identification du client (bien que cela puisse être super difficile de toute façon si le chiffrement asymétrique est utilisé pour les envoyer). Donc, si vous avez un usage unique de l'actualisation de jeton, vous pouvez faire le ttl de l'accès jetons arbitrairement petite, sans compromettre les informations d'identification du client.

    • C'est intéressant que dans le cas de Google lorsque vous demandez un jeton d'actualisation, vous permet également d'envoyer plus de l'id du client et le client secret. Donc, vous êtes de compromettre toutes les heures de toute façon.
    • Je veux modifier, mais pour confirmer avec vous: "La plus courte que la durée de vie de l'accès à jeton, les possibilités de plus les attaquants ont compromis les informations d'identification du client..." tu veux dire plus, non? Plus ttl = plus de possibilités d'obtenir un compromis.
    • Alexandre, en fait la plus courte de la durée de vie, le plus souvent, le client devra obtenir un nouvel accès à jeton (ce qui nécessite l'utilisation des informations d'identification client). J'ai donc, en fait, signifie 'plus court' il. Je vais ajouter une note à préciser.
    • "seul but" - ne part pas au lavage. Faire le TTL de l'accès à jeton aussi longue que celle de l'imaginaire de l'actualisation de jeton d'atteindre exactement la même chose.
    • Vous avez raison, ce que vous suggérez les limites de l'utilisation des informations d'identification du client, mais il a aussi le problème que plus la durée de vie sur l'accès à jeton à-dire plus la probabilité que le jeton peut être volé et utilisé alors que les informations d'identification. Vous n'avez pas ce problème avec l'utilisation d'une longue durée de vie de l'actualisation de jeton de courte durée et accès à jeton.
    • Actualisation des jetons aussi améliorer l'évolutivité et la réduire en partie à l'encontre d'un point de défaillance unique, de sorte que "seul but" n'est pas correct.
    • Si vous avez une application mobile (iOS/Android), ne serait-il pas inutile d'avoir un refresh_token? Je veux dire, à la fois access_token et refresh_token devront être stockés dans l'application et ensuite utilisé. Si l'on a été compromise, l'autre pourrait l'être également. N'ont donc pas refresh_tokens genre de inutile alors dans le mobile?
    • Si vous êtes en mesure de voler les informations d'identification des utilisateurs en transit, vous êtes également capable de voler le jeton d'actualisation + client secret, qui est sans doute encore pire. Obtenir un jeton d'actualisation, par exemple par l'obtention de l'accès au serveur de DB sur l'autre main ne signifie rien si vous n'avez pas la clé secrète client. C'est pourquoi l'actualisation des jetons sont un moyen de permettre aux rafraîchit. L'alternative est de stocker les mots de passe utilisateur dans DB, ce qui est évidemment un gros nono.
    • Depuis le standard demande que les informations d'identification du client sera envoyé avec le jeton d'actualisation, la prémisse de cette réponse est tout simplement faux. "Parce que l'actualisation des jetons sont généralement à long durable informations d'identification utilisées pour demander des jetons d'accès... le client DOIT s'authentifier auprès du serveur d'autorisation." Voir aussi le commentaire de @Pourrit.
    • A) je pense que vous mélangez client secrets et les secrets de l'utilisateur. Le client secret n'est jamais envoyé à partir de l'appareil de l'utilisateur, uniquement à partir de l'accès application backend pour les données et de fournir des application backend. B) Le protocole oAuth serveur qui permet de mot de passe de subvention pour un Public Client (un client qui ne peut pas garder un client secret comme un natif ou application javascript) fournira également une actualisation des jetons de subvention pour le public que client, vous n'avez donc pas besoin d'envoyer un client secret lors de l'actualisation de votre jeton. C) L'actualisation-token fournit l'arrière-plan avec un "hart-beat", quand vérifier la validité de l'utilisateur!
    • Comme la spécification exige l'authentification de serveur pour authentifier le client sur le jeton d'actualisation, il ne prend pas en charge actualiser les jetons pour la reconnaissance implicite. Ne pas le mot de passe grant semblent une telle bord-cas...?
    • Pas sûr que je vous suis, pouvez-vous préciser? (J'accepte ce que vous dites.) Mon point principal est peut-être que pour le mot de passe de subvention, d'actualiser token fournit un mécanisme pour les battements de coeur, combien de fois ne l'ÊTRE valide que le compte de l'utilisateur n'est pas verrouillé, le pw n'est pas changé etc.
    • cette réponse est fausse pour la raison que Andreas Lundgren unis

    InformationsquelleAutor B T
  5. 45

    À clarifier la confusion, vous devez comprendre les rôles de la secrets du client et la mot de passe utilisateur, qui sont très différents.

    La client est une application/site web/programme/..., soutenu par un serveur, qui veut authentifier un utilisateur à l'aide d'un tiers de service d'authentification. La clé secrète client est un (aléatoire) de la chaîne qui est connu à la fois le client et le serveur d'authentification. L'utilisation de ce secret, le client peut s'identifier avec le serveur d'authentification, de recevoir autorisation pour demander des jetons d'accès.

    Pour obtenir la première jeton d'accès et d'actualisation de jeton, ce qui est requis est:

    • L'ID utilisateur
    • Le mot de passe utilisateur
    • L'ID du client
    • Le client secret

    Pour obtenir une actualisation jeton d'accès cependant la client utilise les informations suivantes:

    • L'ID du client
    • Le client secret
    • L'actualisation jeton

    Ce qui montre clairement la différence: lors de l'actualisation, le client reçoit l'autorisation de l'actualisation des jetons d'accès à l'aide de sa clé secrète client, et peut donc se ré-authentifier l'utilisateur à l'aide de l'actualisation jeton au lieu de l'ID d'utilisateur + mot de passe. Cela empêche l'utilisateur d'avoir à re-saisir son mot de passe.

    Cela montre aussi que la perte d'un jeton d'actualisation n'est pas un problème parce que l'ID du client et le secret sont pas connus. Il montre également que le maintien de l'ID du client et le client secret est vital.

    • "Cela montre aussi que la perte d'un jeton d'actualisation n'est pas un problème parce que l'ID du client et le secret sont pas connus". Mais je n'ai pas besoin d'eux. Si j'ai un jeton d'actualisation alors je peux le passer à votre serveur d'applications. Il ajoute client_id et secret, puis passer tous les trois à OAuth service. Quel est le point?
    • Le serveur d'application ne fournit pas un moyen de fournir une actualisation jeton de vous-même, vous ne pouvez pas demander à générer un nouveau jeton d'authentification en lui donnant un jeton d'actualisation. Il renouvelle l'auth jeton quand il faut, "derrière les coulisses".
    • Notez que vous n'avez en fait besoin de la clé secrète client pour obtenir le jeton d'actualisation en premier lieu. Vous pensez peut-être de l'implicite flux d'authentification, où vous n'avez pas un secret, mais actualiser les jetons ne sont pas émis ou utilisé dans ce cas.
    • ce genre d'suggère que, pour un utilisateur final juste de l'enregistrement dans l'entreprise XYZ.com site web d'un jeton d'actualisation est dénuée de sens pour obtenir un nouveau jeton d'accès pour XYZ.com? Mais une actualisation jeton peut être tout de l'onu-deviner chaîne comme un guid stockées dans une table qui peut être regardé très rapidement. Alors qu'un jeton d'accès peut être beaucoup plus long et plus difficile à indexer dans une base de données. Donc, rafraîchir jeton PEUT être stockée et ont des avantages sur le côté de l'utilisateur final. [même si, depuis que cette question parle oauth2 peut-être des réponses sans un service tiers qui agit pour le compte d'une personne ne sont pas pertinentes de toute façon]
    InformationsquelleAutor Adversus
  6. 35

    Cette réponse est de Justin plus Riches via OAuth 2 standard corps de liste d'email. C'est publié avec son autorisation.

    La durée de vie d'un jeton d'actualisation est à l' (COMME) le serveur d'autorisation — ils peuvent expirer, être révoquée, etc. La différence entre un jeton d'actualisation et un jeton d'accès est le public: l'actualisation token remonte vers le serveur d'autorisation, le jeton d'accès va à la (RS) serveur de ressources.

    Aussi, juste obtenir un jeton d'accès ne signifie pas que l'utilisateur est connecté. En fait, l'utilisateur peut même pas être là, ce qui est effectivement le cas d'utilisation de l'actualisation de jeton. L'actualisation de l'jeton d'accès, vous donnera accès à une API sur le compte de l'utilisateur, il ne sera pas vous dire si l'utilisateur n'.

    OpenID Connect n'est pas seulement vous donner des informations de l'utilisateur à partir d'un jeton d'accès, il vous donne également un ID de jeton. C'est une feuille de données qui sont adressées au client lui-même, de ne pas le ou la RS. Dans OIDC, vous ne devriez penser à quelqu'un en fait “connecté” par le protocole si vous pouvez obtenir une nouvelle ID de jeton. Rafraîchissant, il n'est pas probable que ce soit suffisant.

    Pour plus d'informations, veuillez lire http://oauth.net/articles/authentication/

    InformationsquelleAutor Manicode
  7. 18

    Clients peut être compromise dans de nombreuses façons. Par exemple, un téléphone cellulaire peut être cloné. Avoir un jeton d'accès expire signifie que le client est obligé de se ré-authentifier sur le serveur d'autorisation. Au cours de la ré-authentification, le serveur d'autorisation pouvez consulter d'autres caractéristiques (OIE effectuer adaptatif de gestion de l'accès).

    Actualisation des jetons de permettre à un client de ré-authentification, où en tant que ré-autoriser les forces d'un dialogue avec l'utilisateur que beaucoup ont indiqué qu'ils préfèrent ne pas le faire.

    Actualisation des jetons ajustement pour l'essentiel, à l'endroit même où normales de sites web peut choisir d'périodiquement ré-authentifier les utilisateurs, après une heure ou deux (par ex. services bancaires). Il n'est pas très utilisé à l'heure actuelle puisque la plupart des sites web de réseaux sociaux de ne pas se ré-authentifier les utilisateurs sur le web, alors pourquoi ils se ré-authentifier un client?

    • "Actualisation des jetons de permettre à un client de ré-authentification..." est un aspect important ici.
    InformationsquelleAutor Phil
  8. 12

    Pour simplifier B T réponse: l'Utilisation d'actualisation des jetons lorsque vous ne souhaitez généralement à l'utilisateur d'avoir à saisir à nouveau les informations d'identification, mais qui veulent le pouvoir pour être en mesure de révoquer les autorisations (par la révocation de l'actualisation de jeton)

    Vous ne peut pas révoquer un jeton d'accès, seulement un jeton d'actualisation.

    • Vous pouvez révoquer un jeton d'accès qui nécessite de vous connecter à nouveau pour un autre jeton d'accès ou de l'utilisation de l'actualisation jeton d'obtenir un jeton d'accès. Si le jeton d'actualisation n'était pas valide, l'utilisateur devra s'authentifier à nouveau pour obtenir un obtenir un nouveau jeton d'accès avec un nouveau jeton d'actualisation.
    • Je suis en désaccord. Un jeton d'accès est délivré par l'auth server, signé avec une date d'expiration, et envoyé au client. Lorsque le client envoie le jeton à la ressource serveur, le serveur de ressources n'est pas en contact avec l'auth server pour vérifier le jeton; il regarde juste à la date d'expiration dans l' (signé et non trafiquée) jeton. Donc, peu importe ce que vous faites à l'auth server pour essayer de "révoquer", le serveur de ressources n'a pas de soins. Certaines personnes se référer au client déconnexion comme un révoquer (ie client supprime son jeton) mais à mon humble avis c'est trompeur de la terminologie que nous avons besoin de "rapporter" un jeton sur le serveur, pas le client
    • Ne dites pas que vous ne pouvais pas écrire du code personnalisé à ignorer certains tokens (comme ici stackoverflow.com/questions/22708046/...) mais cela implique sans doute un réseau d'excursions à partir de la ressource de serveur pour le serveur oauth/db chaque fois que le client effectue un appel. Vous éviter ces appels à l'aide d'actualisation des jetons au lieu de cela, et je pense que c'est plus en ligne avec ce que l'oauth auteurs entendent.
    InformationsquelleAutor bitcoder
  9. 9

    Pourquoi ne pas simplement faire l'access_token durer aussi longtemps que la refresh_token
    et ne pas avoir un refresh_token?

    En plus grande des réponses d'autres personnes ont fourni il y a une autre raison pourquoi l'utilisation d'actualisation des jetons et de sa à voir avec les revendications.

    Chaque jeton contient des revendications qui peuvent inclure le nom des utilisateurs, de leurs rôles ou le fournisseur qui a créé la demande. Un jeton est réactualisé ces revendications sont mises à jour.

    Si nous rafraîchir les jetons plus souvent, nous sommes évidemment à mettre plus de pression sur nos services d'identité toutefois nous deviennent plus précises et à jour de réclamations.

    • Il serait inhabituel d'une mauvaise pratique de mettre ces "revendications" dans le jeton d'accès. Comme décrit dans la spécifications, le jeton d'accès "est généralement opaque pour le client". Avez-vous des exemples de OAuth fournisseurs de ce faire?
    • Lorsque le rôle de l'utilisateur est déclassé de ADMIN pour REGULAR_USER s'attend à ce que le rôle d'utilisateur doit être révoqué immédiatement et non pas lors de l'access_token expire. Ainsi, il ressemble à frapper, la base de données sur chaque demande est inévitable.
    • J'imagine que ce serait un cas où la demande de déclassement d'une entité de ADMIN pour REGULAR_USER serait (dans le même processus) doivent également révoquer la marque appropriée. c'est à dire si nous savons les revendications vont changer, nous ne pouvons pas attendre l'expiration, nous révoquer immédiatement
    InformationsquelleAutor heymega
  10. 5

    Supposons que vous faites l'access_token durer très longtemps, et n'ont pas refresh_token, donc, en un jour, pirate obtenir ce access_token et il peut accéder à toutes les ressources protégées!

    Mais si vous avez refresh_token, l'access_token de la durée de vie est courte, de sorte que le hacker est dur à pirater votre access_token, car il sera invalide après une courte période de temps.
    Access_token qui ne peuvent être récupérées en utilisant non seulement refresh_token mais aussi par client_id et client_secret, qui hacker n'a pas.

    InformationsquelleAutor Tạ Anh Tú
  11. 2

    Tandis que l'actualisation jeton est conservé par le serveur d'Autorisation. Jeton d'accès sont autonomes, afin que les ressources du serveur pouvez le vérifier sans le stocker ce qui permet à l'effort de récupération en cas de validation.
    Un autre point manquant en discussion, c'est à partir de rfc6749#page-55

    "Par exemple, le serveur d'autorisation pourrait employer jeton d'actualisation
    rotation d'une nouvelle actualisation de jeton est émis à chaque accès
    jeton d'actualisation de réponse.L'actualisation précédente jeton est invalidé, mais
    retenu par le serveur d'autorisation. Si un jeton d'actualisation est
    compromise et par la suite utilisé par l'attaquant et le
    légitimes du client, l'un d'eux présentera invalidé, l'actualisation
    jeton, qui en informe le serveur d'autorisation de la violation."

    Je pense que le point de l'ensemble de l'aide jeton d'actualisation, c'est que même si l'attaquant réussit à obtenir d'actualisation jeton d'identification du client et combinaison secrète. Avec les appels suivants pour obtenir le nouveau jeton d'accès de l'attaquant peuvent être suivies dans le cas où si chaque demande d'actualiser le résultat dans une nouvelle jeton d'accès et d'actualisation de jeton.

    • Je pense que c'est un point très important 🙂 Il a également - dans une certaine mesure - type d'invalide l'argument ici auth0.com/docs/tokens/refresh-token/current#restrictions que A Single-Page Application (normally implementing Single-Page Login Flow) should not under any circumstances get a Refresh Token. The reason for that is the sensitivity of this piece of information. You can think of it as user credentials, since a Refresh Token allows a user to remain authenticated essentially forever. Therefore you cannot have this information in a browser, it must be stored securely.
    InformationsquelleAutor Kraming
  12. 0

    Considérons un système où chaque utilisateur est lié à un ou plusieurs rôles et chaque rôle est associé à un ou plusieurs des privilèges d'accès. Cette information peut être mis en cache pour une meilleure API performance. Mais ensuite, il peut y avoir des changements de l'utilisateur et le rôle des configurations (par exemple, de nouveaux accès peut être accordé ou d'accès actuel peut être révoquée) et ceux-ci devraient être reflétées dans le cache.

    Nous pouvons utiliser l'accès et l'actualisation des jetons pour un tel but. Lorsque l'API est appelée avec un jeton d'accès, le serveur de ressources vérifie le cache pour les droits d'accès. SI il n'y a aucune nouvelle d'accès à des subventions, il n'est pas pris en compte immédiatement. Une fois le jeton d'accès de l'expiration (par exemple en 30 minutes) et le client utilise le jeton d'actualisation pour générer un nouveau jeton d'accès, le cache peut être mis à jour avec la mise à jour de l'utilisateur le droit d'accès de l'information à partir de la DB.

    En d'autres termes, nous pouvons déplacer les opérations coûteuses de tous les appels de l'API à l'aide de jetons d'accès à l'événement de la génération jeton d'accès à l'aide jeton d'actualisation.

    InformationsquelleAutor Saptarshi Basu
  13. 0

    Tout d'abord, le client s'authentifie auprès du serveur d'autorisation en donnant l'autorisation de la subvention.

    Ensuite, le client demande au serveur de ressources pour la ressource protégée par donner le jeton d'accès.

    La ressource de serveur valide le jeton d'accès et fournit la ressource protégée.

    Le client fait une ressource protégée demande au serveur de ressources par l'octroi de le jeton d'accès, où la ressource de serveur valide et qui sert à la demande, si elle est valable. Cette étape tient sur la répétition jusqu'à ce que le jeton d'accès expire.

    Si le jeton d'accès expire, le client s'authentifie auprès du serveur d'autorisation et les demandes de un nouveau jeton d'accès en fournissant l'actualisation de jeton. Si le jeton d'accès n'est pas valide, le serveur de ressources renvoie à la non valide jeton de réponse d'erreur au client.

    Le client s'authentifie auprès du serveur d'autorisation par l'octroi de l'actualisation jeton.

    Le serveur d'autorisation valide le rafraîchissement de jeton d'authentification du client et les enjeux d'un nouveau jeton d'accès, si elle est valide.

    • Ce n'est pas fait mention où le jeton d'actualisation provient. Je suis en supposant que le deuxième paragraphe devrait dire access token + refresh token ?
    InformationsquelleAutor