为什么我们甚至需要通过HTTPS刷新令牌？

Question

Oauth2引入了让过期访问令牌和未过期(或长期)刷新令牌用于访问新访问令牌的概念。

这个额外的安全层是有成本的(后端和前端)。这一措施的好处是否超过了成本？

如果您计划通过http部署API，那么这听起来是一个很好的过程，但是当您使用SSL (TLS)时，它仍然有用吗？

我在互联网上关于这个问题的所有研究都指向“如果攻击者窃取了你的非过期访问令牌……”，但是等等，不，没有人不能中间人管理我的令牌，因为它是通过HTTPS的。

那么，我们是否信任HTTPS，所有这些都是言过其实的教条，还是有其他理由担心我的用户的令牌可能会被窃取？

Answer 1

它更多的不是关于减轻令牌丢失，而是能够在中央位置请求新的令牌时应用访问策略。

请记住，刷新令牌仅用于授权服务器以获取新的访问令牌，此时授权服务器可以应用这些集中式策略，而访问令牌则用于持有受保护资源的资源服务器。

请参阅：what's the point of refresh token?