在PKCE中使用授权码时缺少refresh_token
在PKCE(Proof Key for Code Exchange)中使用授权码时缺少refresh_token是指在进行OAuth 2.0的授权码模式中,缺少了用于刷新访问令牌的refresh_token。
授权码模式是OAuth 2.0中最常用的授权方式之一,它通过将用户重定向到授权服务器,获取授权码,然后再通过授权码获取访问令牌。在PKCE中,为了增加安全性,还引入了一个随机生成的code_verifier和code_challenge,用于验证授权码的合法性。
refresh_token是用于刷新访问令牌的凭证,当访问令牌过期时,可以使用refresh_token获取新的访问令牌,而无需再次进行用户授权。然而,在PKCE中使用授权码时缺少refresh_token意味着无法刷新访问令牌,当访问令牌过期后,用户需要重新进行授权流程,获取新的授权码和访问令牌。
缺少refresh_token可能会导致以下问题:
- 用户体验下降:每次访问令牌过期后,用户都需要重新进行授权流程,增加了用户的操作步骤和时间。
- 安全性降低:由于无法刷新访问令牌,访问令牌的有效期可能会设置得较长,增加了令牌被盗用的风险。
为了解决这个问题,可以在PKCE中使用授权码时,确保授权服务器返回refresh_token。具体的实现方式可以参考OAuth 2.0的规范和相关文档。
腾讯云提供了丰富的云计算产品和服务,其中与身份认证和授权相关的产品是腾讯云的访问管理(CAM)服务。CAM提供了身份管理、权限管理和资源控制等功能,可以帮助开发者实现安全的身份认证和授权机制。您可以通过以下链接了解更多关于腾讯云CAM的信息:
请注意,以上答案仅供参考,具体的实现方式和产品选择应根据实际需求和情况进行评估和决策。
相关·内容
在使用带有PKCE的oauth2代码流对管理应用程序接口进行授权之后,来自POST https://login.tapkey.com/connect/token的响应不会返回刷新令牌。&code_challenge_method=S256" 在回调之后,我请求具有以下表单数据的POST https://login.tapkey.com/connect/token: [
"gr
浏览 87提问于2021-09-28得票数 0
回答已采纳
1回答
我能够创建一个必须使用PKCE使用authorization_code流登录的公共客户端,如下所示: --endpoint http://127.0.0.1:4445 \ --grant-types authorization_code,refresh_token \
invalid_
浏览 14提问于2022-02-09得票数 1
我们的团队正在构建一个Angular应用程序,该应用程序将使用B2C进行身份验证/授权,在此应用程序中,我们希望使用PKCE的授权码流构建OpenID集成。Azure B2C似乎支持PKCE,但是出于某些原因,它还要求我们在请求访问令牌时发送client_secret。这是正确的吗?PKCE不应该在处理授权码流时消除对静态客户端机密的需求吗?
浏览 19提问于2020-03-31得票数 3
我正在使用springdoc-openapi-ui-1.4.3的swaggerpublic class ProductControllerauthenticated() .oauth2ResourceServer() }使用依赖项oAuthFlow:
authorizationUrl: https:&#
浏览 8提问于2020-07-17得票数 1
我偶然发现了OpenIddict,在浏览了几个示例服务器代码后,我找不到我想要的东西。我希望看到一个使用OpenIddict和PKCE的认证码流的例子,因为这似乎是现在推荐的安全方法,但没有找到同时使用两者的方法。
浏览 86提问于2019-06-19得票数 1
回答已采纳
我想集成OAuth2,但我不知道该选择哪种授权类型。一方面,ROPC授权类型最适合我的情况,因为我不允许任何第三方应用程序,我不希望用户被重定向到任何地方,用户永远不能直接使用我的端点,只能通过某种界面(前端或移动GUI)。
浏览 26提问于2021-10-18得票数 0
2回答
SPA隐式流与授权流与混合流
、、、、
对于SPA使用OpenId隐式流似乎存在共识,尽管存在一些安全问题,使用HTTPS是否降低了这种风险,还是使用另一种流类型更安全呢?例如授权或混合流。
浏览 5提问于2018-06-06得票数 1
回答已采纳
我读到了很多关于OIDC流程的资料,并且使用PKCE的授权代码流程是适合SPA的流程,但是如果我有一个.Net 5 WebAPI后端呢?是否可以在没有PKCE的情况下对该组合使用授权代码流?如果我在PKCE中使用认证码流,什么认证对我的WebAPI是正确的?JWT令牌?
非常感谢
浏览 25提问于2021-10-16得票数 0
如果有一个使用PKCE对我的服务器授权的移动设备,允许它获得一个access_token和一个refresh_token,那么我应该在多大程度上相信这个应用程序从现在起就可以使用refresh_token同样的担忧导致了PKCE的发明也在这里发挥作用吗?
我之所以问这个问题,是因为当我在Auth2上玩一个Ruby库时,我发现这样做没问题,这让我很困惑。编辑:不确定这是否会是答案,但也许我们在这里假设(给定一个TLS连接),re
浏览 0提问于2018-12-03得票数 5
我读了很多关于不同的流程(授权码,隐式,混合和一些扩展,如PKCE)。现在我在PKCE的授权码流上。
PKCE确保发起者与将授权码交换为访问令牌的用户是同一用户。这很好,也很好。在不使用client_secret (建议用于SPA/Javscript应用程序)的情况下使用此流程时,不能保证客户端是已知/原始客户端。因此,用户给
浏览 0提问于2019-09-13得票数 2
我在Azure DevOps管道中运行了与纽曼的集成测试。我一直使用PKCE来授权Api请求,直到最近使用client_credentials迁移到AD B2C和授权码时才进行更改。在postman中,我能够通过PKCE使用隐式流和授权码检索访问令牌,但它不适用于newman管道。 有没有一种方法可以在没有用户
浏览 20提问于2021-09-27得票数 0
1回答
该流程与授权代码流工作良好,无需 PKCE (使用带有角的放大)。
但是在重定向到okta之后,它就会抛出这个错误。当令牌端点身份验证方法为“none”时,需要 pkce代码挑战
我正
浏览 3提问于2020-01-31得票数 2
回答已采纳
我有一个web应用程序,它使用OAuth2的进行身份验证。
我希望能够使用刷新令牌长时间保持我的会话活动。但是由于我不能在web应用中安全地存储client_secret,所以我不能使用传统的。使用代替client_secret是否安全,或者这样做会不会失去某种级别的安全性?
浏览 0提问于2017-08-29得票数 2
1回答
问题:我相信我理解PKCE对隐式流的改进,但是在使用PKCE的用户机器与应用程序接收和处理后端授权代码的授权代码流之间,安全性有什么根本的区别呢?背景:我们的团队一直在寻求在不同的产品组合中添加/实现单点登录。其中包括一个具有登录表单/cookie的旧网站,一个目前使用对称JWT的SPA/PWA,以及一个使用JWT的桌面应用程序插件。也就是说,用户被重定向到他们完成的M
浏览 9提问于2022-06-12得票数 0
1回答
我有一个移动应用程序,我想使用OpenId连接根据外部身份验证提供商对用户进行身份验证。我只需要id_token来获取用户的电子邮件地址,我不需要访问令牌(至少现在是这样)。如果使用混合流,在前端通道上执行第一个请求并设置response type = code id_token,是否存在漏洞?如果/当我要使用访问令牌时,我计划将代码发送到后端以进行访问令牌的交换。
浏览 7提问于2020-02-12得票数 0
1回答
我们使用KeyCloak身份代理将身份验证联合到外部IDP。身份提供程序的类型为OpenID连接v1.0。此外,我们在PKCE中使用OIDC授权代码流。根据以下文档,我们能够成功地从外部IDP检索令牌:
但是,当用户代理使用"refresh_token“授权刷新KeyCloak令牌时,来自外部IDP的令牌不会刷新。
浏览 17提问于2021-02-10得票数 3
我正在考虑使用pkce将我的angular应用程序中的身份验证流从隐式流升级到授权码流。我使用Azure AD作为身份验证提供程序。我在Microsoft文档中找不到与spa的pkce流程相关的文档。Auth0已经从去年开始支持pkce,想知道Azure ad是否支持它。或者是否在他们未来的路线图中。
浏览 2提问于2020-05-06得票数 2
1回答
我已将刷新令牌生存期配置为90天,但当Azure AD B2C返回的令牌始终为24小时时。我需要做什么来延长令牌的生命周期吗?
浏览 0提问于2020-11-20得票数 1
我们正在使用具有PKCE授权码授权的SPA。现在我们要使用SSO进行登录。但是应用程序(单点登录应用程序)返回授权代码,该代码不能持久保存在单点登录系统的session或cookies中。
浏览 16提问于2020-12-17得票数 0
questions/73075156/what-exactly-is-redirect-uri-in-google-oauth2-request-for-getting-authorization这些方法中是否存在安全漏洞
浏览 0提问于2022-11-25得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
