Diese Fragen wurden möglicherweise bereits gestellt, aber ich sehe nicht viele Informationen unter refresh_token
teilen.Freigeben von Aktualisierungstoken und Client-IDs
So verwenden wir Azure Native API to Web API Szenario, um Benutzer zu authentifizieren. Meine Client-Maschine wird über ein Python-Skript verfügen, das bei seiner Ausführung Benutzer authentifiziert und access_token
und refresh_token
generiert. Um dies zu tun, haben die Skripte client_id
der nativen App (keine Notwendigkeit von client_secret
für native App). Einmal authentifiziert benutzen wir die Token, um auf die Web-API zuzugreifen.
Frage: Da der Client-Anwendung hat alle diese Informationen, wenn Benutzer Hacks in den Code und erhält Zugang zu client_id
, access_token
und refresh_token
kann er sie verwenden Token zu erzeugen und die Web-API zugreifen?
Obwohl wir access_token
bis 10 Minuten kurzlebig machen, wenn er hält client_id
und refresh_token
bekommt kann er so viele Token generiert er will und Zugang Web-API. Wird die refresh_token
von einer Maschine auf einer anderen Maschine arbeiten. Ich kann keine Dokumentation von Microsoft finden, die besagt, dass refresh_tokens
an eine Maschine gebunden sind, die auf IP oder MAC oder etwas basiert
Sicher gespeichert? Die Client-Anwendung befindet sich auf dem Client-Computer, also wie können wir sie sicher speichern? Das ist mein Anliegen –
Siehe "OAuth 2.0 Bedrohungsmodell und Sicherheitsüberlegungen" RFC, insbesondere die "Bedrohung: Erhalte Refresh Token" Abschnitt https://tools.ietf.org/html/rfc6819#page-17 – andresm53
Jede Plattform hat empfohlen Speicher zum Speichern der Token. Im Falle von Webbrowsern ist der lokale Speicher gut. –