极客观点
项目管理
HarmonyOS
我用在线的工具很容易解码access token,里面包含header payload 和signxxxx.但是refresh token好像不是base64格式的,不能用在线工具解码出来, 请问refresh token是加密的吗?是什么格式的?有哪些组成部分?分别是干什么用的?存在localstorage里面可以被翻译成明文吗?
首先,理论上讲,与客户端交互,accessToken & refreshToken都是要加密的,不能随意被客户端解密查看信息,只能在有秘钥的后端服务才能解密查看。
基于安全性,信息不能放在localStorage,有被XSS盗用的风险,间接获取到accessToken。建议放在session或是内存中。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
为什么会出现CORS error?
先登录成功了。再次调用,就出现了CORS error在Login页调用这个接口就是正常的,换一个页面调用这个接口就出现了跨域问题。我把这段代码注释以后就正常了。3 回答2.3k 阅读✓ 已解决
请问,有公司安装监控软件的同学,360安全卫士可以扫描到你们的监控软件吗?
请问,有公司安装监控软件的同学,360安全卫士可以扫描到你们的监控软件吗?可以卸载掉吗?1 回答1.1k 阅读
进一步优化:使用双token嘛?再加上mq?
redis实现手机号短信登录,优化成JWT 登录认证(用户登录时生成jwttoken) + Redis 自动续期,还能怎么优化呢?进一步优化:使用双token嘛?再加上rabbitmq?1 回答655 阅读
这个访问有什么错误?
我家里的 openwrt 中启用了 lucky 服务,其中做了反向代理 openwrt 上的 alist,我在外网访问回去出现下面保存:我在控制台中查看了 http 请求如下,没看懂有什么问题,求大佬帮忙解读下803 阅读
ECC加密:能否用异或代理加法来加密明文?
ECC加密中,能不能用异或代理加法对明文加密?Q=td,Q是公钥,t是私钥,d是基点,明文m,选择随机数r一般情况: {代码...} 能否改成: {代码...} 使用原有方式不能满足一些特殊要求,能不能使用异或的方式来加解密呢1 回答513 阅读
看起来,你应该是说的 JWT 中的 Refresh Token ,根据 RFC 7519 - JSON Web Token (JWT) ,其中并没有对 Refresh Token 进行定义,也就是说是可以自行实现的。
refresh_token是 OAuth2.0 中的概念,但是 RFC 6749 - The OAuth 2.0 Authorization Framework 中对于 refresh_token 也并没有要求其按照何种格式编码,鉴于 OAuth2 是有状态的授权,则可以随便生成,只要能识别即可。所以,这里什么都有可能,重要的是能在使用时被后端识别。