我正在使用Next.js应用程序中与httpOnly cookie一起存储的访问令牌来验证用户,我想知道在这种情况下是否真的需要刷新令牌?据我所知,刷新令牌用于在我的访问令牌过期时重新颁发新的访问令牌。目的的关键是保护访问令牌,减少XSS攻击造成的损害,但是当我的访问令牌存储在httpOnly cookie中时,就没有理由再使用刷新令牌了,对吗?
57hvy0tb1#
这个想法是让访问令牌保持短暂的生命期,以限制潜在攻击者可以做恶意行为的时间。总体思路如下所述:访问令牌和刷新令牌最佳做法?如何实现访问和刷新令牌关于声明:目的的关键是保护访问令牌,减少XSS攻击造成的损害。这其实是错误的。关键目的是减少访问令牌泄漏时的损害。您可以通过使访问令牌的寿命变短来实现这一点。它不会以任何方式减轻XSS。我相信,对于您是否需要刷新令牌的问题,答案是--是的,您需要。
1条答案
按热度按时间57hvy0tb1#
这个想法是让访问令牌保持短暂的生命期,以限制潜在攻击者可以做恶意行为的时间。总体思路如下所述:访问令牌和刷新令牌最佳做法?如何实现访问和刷新令牌
关于声明:
目的的关键是保护访问令牌,减少XSS攻击造成的损害。
这其实是错误的。关键目的是减少访问令牌泄漏时的损害。您可以通过使访问令牌的寿命变短来实现这一点。它不会以任何方式减轻XSS。
我相信,对于您是否需要刷新令牌的问题,答案是--是的,您需要。