oauth-2.0 防止碰撞

fykwrbwg  于 2022-10-31  发布在  其他
关注(0)|答案(1)|浏览(136)

我正在使用LWA创建一个应用程序,有几个微服务可以调用我的身份验证服务。我想防止两个服务发生访问令牌冲突。
因此,假设服务A使用刷新标记“xyz”调用身份验证服务,并获得一个访问标记。现在,服务B使用刷新标记“xyz”调用身份验证服务,并获得另一个访问标记。
由于刷新令牌无限期存在,我发现很难安全地防止访问令牌冲突。

bsxbgnwa

bsxbgnwa1#

身份验证服务应跟踪颁发的令牌。如果损坏,身份验证服务可以使关联的令牌无效。如果这样做,则可以对此列表进行简单检查,然后重试。
刷新令牌应该在使用后滚动,也就是说,当一个令牌被交换为访问令牌时,你应该生成一个新的刷新令牌。刷新令牌 * 不 * 应该无限期存在。

相关问题