如果 OAuth2 访问令牌可以被盗,为什么假设刷新令牌也可以被盗是不安全的?
If an OAuth2 access token can be stolen, why isn't it safe to assume that a refresh token can be stolen too?
如果我们提出一个问题“为什么不使用不会过期的访问令牌,而不用刷新令牌呢?”,答案可能是“因为如果访问令牌被盗,恶意行为者有 X代表生成令牌的用户执行恶意行为的时间(所述未过期访问令牌的生命周期)。”因此,据我所知,解决问题的方法是,在身份验证成功后,向用户发送一个 short lived 访问令牌的令牌对,以及 寿命更长刷新令牌。我不明白这不仅仅是为了规避原始问题。问题显然在于访问令牌被盗的理论上的可能性。因此,如果它曾经是,它的有效性很快就会过期,所以恶意行为者很长一段时间都无法通过身份验证。在这种假设情况下,如果谁可以窃取访问令牌,为什么他们不能窃取刷新令牌呢?我得到的通常答案是:
- “您必须将刷新令牌存储在安全的地方。” 这对我来说毫无意义。为什么我不将访问令牌和刷新令牌都存储在“安全的地方”?
- “访问令牌被盗的可能性更高,因为它比刷新令牌使用得更频繁”。在这种情况下,我怀疑“被盗”意味着“被嗅探”,就像在中间人攻击中一样。我有几个关于这个的子问题。 1.为什么这个适用? HTTPS headers/body 没有加密吗?如果在这个问题中假设使用 HTTP,为什么我们还要谈论防止漏洞?这很好地引导到:2. 实际上,这种“嗅探”请求是什么样子的?为什么恶意行为者不能“嗅探”发送的每一个请求,并最终找到一个刷新令牌?
- "在微服务环境中,访问令牌发送给所有服务,而刷新令牌仅发送给授权service/server。" 这听起来是最有效的,但我还有一个问题。这有什么区别?听起来授权服务器被认为比其他服务器具有更高的安全性?我想这只有在采用统计方法时才有意义,因为要窃取访问令牌,需要利用任何 X 服务器,而要窃取刷新令牌,只需利用一台服务器。虽然这只是我的假设,而且不知何故不符合这个安全概念的要点。此外,这个概念似乎并不是为了解决服务器问题而创建的。
我想我的问题是:
“如果我们假设访问令牌的概念、使用它或它的存储方式等存在任何固有漏洞......是什么使刷新令牌不易受这些漏洞的影响?”
虽然“静态”访问令牌和刷新令牌的安全属性确实相同,但不同之处在于“传输中”刷新令牌比访问令牌更容易保护,因为它被使用,如下所述。
首先,访问令牌只发送到资源服务器,刷新令牌只用于单个授权服务器。在许多情况下,资源服务器被认为不太受信任(授权服务器在设计上是客户端的受信任组件),正如您提到的,可能有很多资源服务器可能具有适用于它们的不同级别的安全性。
其次,流向授权服务器的刷新令牌可能使用刷新令牌的“滚动刷新”,这意味着在访问令牌刷新时,也会发布一个新的刷新令牌,这会使旧的无效刷新令牌。这是授权服务器的一种非常常见的实现模式。
最后,也许有点远景,访问令牌在比刷新令牌更多的请求中使用,因此适用于传输层(定时攻击)的任何漏洞的可能性成比例地增加。
如果我们提出一个问题“为什么不使用不会过期的访问令牌,而不用刷新令牌呢?”,答案可能是“因为如果访问令牌被盗,恶意行为者有 X代表生成令牌的用户执行恶意行为的时间(所述未过期访问令牌的生命周期)。”因此,据我所知,解决问题的方法是,在身份验证成功后,向用户发送一个 short lived 访问令牌的令牌对,以及 寿命更长刷新令牌。我不明白这不仅仅是为了规避原始问题。问题显然在于访问令牌被盗的理论上的可能性。因此,如果它曾经是,它的有效性很快就会过期,所以恶意行为者很长一段时间都无法通过身份验证。在这种假设情况下,如果谁可以窃取访问令牌,为什么他们不能窃取刷新令牌呢?我得到的通常答案是:
- “您必须将刷新令牌存储在安全的地方。” 这对我来说毫无意义。为什么我不将访问令牌和刷新令牌都存储在“安全的地方”?
- “访问令牌被盗的可能性更高,因为它比刷新令牌使用得更频繁”。在这种情况下,我怀疑“被盗”意味着“被嗅探”,就像在中间人攻击中一样。我有几个关于这个的子问题。 1.为什么这个适用? HTTPS headers/body 没有加密吗?如果在这个问题中假设使用 HTTP,为什么我们还要谈论防止漏洞?这很好地引导到:2. 实际上,这种“嗅探”请求是什么样子的?为什么恶意行为者不能“嗅探”发送的每一个请求,并最终找到一个刷新令牌?
- "在微服务环境中,访问令牌发送给所有服务,而刷新令牌仅发送给授权service/server。" 这听起来是最有效的,但我还有一个问题。这有什么区别?听起来授权服务器被认为比其他服务器具有更高的安全性?我想这只有在采用统计方法时才有意义,因为要窃取访问令牌,需要利用任何 X 服务器,而要窃取刷新令牌,只需利用一台服务器。虽然这只是我的假设,而且不知何故不符合这个安全概念的要点。此外,这个概念似乎并不是为了解决服务器问题而创建的。
我想我的问题是:
“如果我们假设访问令牌的概念、使用它或它的存储方式等存在任何固有漏洞......是什么使刷新令牌不易受这些漏洞的影响?”
虽然“静态”访问令牌和刷新令牌的安全属性确实相同,但不同之处在于“传输中”刷新令牌比访问令牌更容易保护,因为它被使用,如下所述。
首先,访问令牌只发送到资源服务器,刷新令牌只用于单个授权服务器。在许多情况下,资源服务器被认为不太受信任(授权服务器在设计上是客户端的受信任组件),正如您提到的,可能有很多资源服务器可能具有适用于它们的不同级别的安全性。
其次,流向授权服务器的刷新令牌可能使用刷新令牌的“滚动刷新”,这意味着在访问令牌刷新时,也会发布一个新的刷新令牌,这会使旧的无效刷新令牌。这是授权服务器的一种非常常见的实现模式。
最后,也许有点远景,访问令牌在比刷新令牌更多的请求中使用,因此适用于传输层(定时攻击)的任何漏洞的可能性成比例地增加。