极客观点
项目管理
HarmonyOS
如果access_token有效期一个小时,refresh_token有效期7天;
- 那么在这7内天我都可以通过
refresh_token获得access_token那不是等价于access_token有效期为7天了吗? - 7天的有效期也会让安全风险增加那为什么还要用
refresh_token呢?
refresh token安全问题
java阅读 6.3k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.4k 阅读
vue项目如何在初始化之前跳转外部页面?
vue项目内有一个分享功能,但是这个分享出去的页面打开会非常慢,所以就想到了单独写了一套H5页面专门用于手机端打开,然后在这个vue项目的分享页面初始化函数里面加一个判断终端是否为移动端,如果是就再做一次跳转,到这个单独的H5页面上去,这样就不会去加载vue框架,打开速度会更快。以上是初始方案和预期。5 回答4.8k 阅读✓ 已解决
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.2k 阅读
请问nodejs如何定义全局 变量?
请问一下有大佬知道nodejs如何定义全局 变量吗?如果这样定义是any: {代码...} 尝试: {代码...}4 回答2.4k 阅读✓ 已解决
求java/php大佬帮帮忙?
最近遇到一个需求,需要对接第三方平台,然后对面只给公钥和私钥 ,本身我是用php开发的,第三方的demo 是java 头大完全不知道什么意思,看不懂java写法 有没有大哥帮我写个php的类这是第三方demo提供的加密加签方法以下是完整文件package com.example.guojindemo.utils;1 回答4k 阅读✓ 已解决
新人求看下如何用php对接第三方接口?
新人求解第三方的对接口怎么写curl 求大神写个php 的curl3 回答1.8k 阅读✓ 已解决
springboot业务代码能否动态加载和更新?
目前的问题是业务模块会持续增加,每个模块的开发不影响其他任何部分代码,所以我想的是,是否可以jvm启动一个主进程,主进程是一个springboot项目,只是没有各个业务模块的功能。然后各个业务模块可以以插件的形式动态加载和更新。3 回答6k 阅读
这是一个有关暴露风险大小和有效期时长的问题,如果我们只有一个 token ,每次请求中都要携带这个,那么它暴露的风险会很高,如果这个 token 的有效期还比较长,那么它一旦暴露,损失会很高,所以 access_token 的有效期需要比较短。
但是我们又不希望用户的登录有效期只能这么短,那么怎么办呢?refresh_token 的存在价值正在这里,refresh_token 只需要在刷新 access_token 的请求里面携带,相对于 access_token 而言,它暴露的风险小很多,所以即便它的有效期比较长,相对来说造成损失的可能性也没那么高。
更详细的看看这个Why Does OAuth v2 Have Both Access and Refresh Tokens?