JWT 使用刷新令牌作为访问令牌
如果刷新令牌被黑客劫持,然后他尝试使用刷新令牌作为访问令牌怎么办?后端的验证器会看到刷新令牌有效并且没有过期?是否有任何机制可以将刷新令牌识别为刷新令牌?
What if a refresh token is hijacked by a hacker, and then he tries to use the refresh token as the access token? The validator in the backend will see that the refresh token is valid and not expired? Is there any mechanism that will identify the refresh token as a refresh token?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
黑客只能使用刷新令牌来获取新的访问令牌。刷新令牌不能用于访问任何 API 或其他服务。刷新令牌通常只是一个随机字符串,而不是 JWT 令牌。
后端通常在每次使用后返回一个新的刷新令牌,如果相同的刷新令牌使用两次(由黑客+普通用户),则用户将被阻止。 (一次性刷新令牌)
The hacker can only use the refresh token to get a new access token. The refresh token can't be used to access any API's or other services. The refresh token is usually just a random string and not a JWT-token.
The backend often returns a new refresh token after each use and if the same refresh token is used twice (by the hacker + the normal user) then the user is blocked. (one time refresh tokens)