SORU
11 AĞUSTOS 2011, PERŞEMBE


OAuth2 - Neden erişim belirteçleri sona erecek?

Sadece Google'ın API ve Oauth2 ile çalışmaya yeni başlıyorum. İstemci vermiş olduğum uygulamamı yetki verdiğinde "token" ve bir kısa ömürlü "". access token yenile Şimdi her zaman erişim belirteci sona eriyor, benim refresh token google için YAZILAN ve bana yeni bir access token verecektir.

Benim sorum access amacı token sona eriyor nedir? Neden biz orada sadece access token yerine refresh token uzun ömürlü olacak?

Ayrıca, yenileme token sona?

Google Oauth2 hakkında daha fazla bilgi için http://code.google.com/apis/accounts/docs/OAuth2.html iş akışı

Bu konuda herhangi bir düşünce takdir ediyorum.

Teşekkürler

CEVAP
12 AĞUSTOS 2011, Cuma


Bu çok özel uygulama, ama genel bir fikir sağlayıcıları uzun vadeli yenile simgeleri ile kısa süreli erişim belirteçleri vermek için izin vermektir. Neden?

  • Birçok sağlayıcıları çok zayıf güvenlik-bilge olan taşıyıcı simgeleri desteği. Onları kısa ömürlü yapım ve yenileme gerektiren, bir saldırganın çalıntı token kötüye süre kısıtlı.
  • Büyük ölçekli dağıtım şifre çözme doğrulanabilir bir veritabanı yerine onlar sorunu çok arama her API çağrısı, kendi kodlanmış access token gerçekleştirmek istemiyorum. Ancak, bu da kısa bir süre için verilir ve yenilenmesi gerekir bu yüzden bu simgeleri iptal etmek için bir yol yoktur hiçbir anlamı.
  • Yenile simgesi daha güçlü kılan bir istemci kimlik doğrulaması gerektiriyor. Yukarıdaki erişim belirteçleri aksine, genellikle bir veritabanı araması ile gerçekleştirilir.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Brandon McCrary

    Brandon McCr

    15 Ocak 2012
  • Harvest: Greg Laurie

    Harvest: Gre

    6 HAZİRAN 2006
  • Nick Pitera

    Nick Pitera

    8 NİSAN 2006