Gitter offline_access zu öffentlichen apps

Question

Was ist Ihre Meinung in Bezug auf Gitter offline_access zu öffentlichen Anwendungen? Ich habe den Standard durchgesehen und habe keinen expliziten Hinweis darauf gefunden, dass das Offlinen von öffentlich zugänglichen Apps ein großes Sicherheitsproblem darstellt.

Ich denke, es ist wie eine öffentliche App nicht in der Lage, sicher ihr Passwort zu halten, geschweige denn ein Refresh-Token. Zur gleichen Zeit sehe ich viele Beispiele mit Browser-Apps, die den refresh_token-Fluss verwenden, daher kann es eine übliche Strategie sein, zu verhindern, dass der Benutzer zum Identity-Provider umgeleitet wird.

Mein Ziel ist es, einen geeigneten Weg zu finden, um ein anderes access_token mit AJAX zu bekommen, so dass der Benutzer die Seite nicht aktualisiert oder zum Identity Provider weitergeleitet bekommt.

Danke, George

Answer 1

Gemäß den RFC6749 ist die Ausgabe einer Aktualisierungs-Token not permitted with the implicit grant type und es im Ermessen des Autorisierungs-Servers für die anderen gran-Typen.

Die OpenID Connect specification ist etwas restriktiver durch mentionning dass der Autorisierungsserver MUST ignore the offline_access request unless the Client is using a response_type value that would result in an Authorization Code being returned.

Diese Spezifikationen ermöglichen jedoch die Ausgabe eines Aktualisierungstokens für einen öffentlichen Client, wenn die refresh tokens can receive an acceptable level of protection.

Possible threats identifiziert und Gegenmaßnahmen könnten (nicht erschöpfende Liste):

• Sichere Refresh-Token-Speicher (verschlüsselte Ordner/Disk).
• Sperre (n) nicht autorisiertes Gerät/Anwendung Zugriff zu verhindern
• Möglichkeit, die Zugriffstoken/Refresh-Token
• Rotation der resfresh Token
• Kombinieren Aktualisierungs-Token Anfrage mit Geräteidentifikation