单页应用程序- Oauth-2:我们需要刷新令牌吗？

Question

**大家好，我正在研究单页应用程序的刷新/访问令牌(oauth-2)，在我的例子中，有一个身份验证服务器和许多资源服务器，但我不明白：

我们是否需要使用刷新令牌来获取新的访问令牌?为什么?如果需要，客户端应该存储刷新令牌还是仅存储访问令牌？

**在我看来：

_If我们在客户端存储刷新令牌来获得新的访问令牌，为什么我们不使用访问令牌来在新的访问令牌到期之前获得新的访问令牌。

_If我们将刷新令牌存储在身份验证服务器中，那么刷新令牌的用途是什么？

请帮帮我!谢谢大家！

Answer 1

过了一段时间，我自己找到了答案：)

对于单页面应用，我们仍然需要在客户端存储访问令牌和刷新令牌。为什么？

因为访问令牌用于与许多资源服务进行交换。而且我们不能100%信任任何资源服务，它们可以属于第三方服务，以适应我们的服务。所以我可以说“访问令牌仍然可以在第三方服务中被窃取”。但请记住，访问令牌的生命周期很短(大约10-30分钟)，我们必须接受这种情况。

但是刷新令牌是用来获取新的访问令牌的，而且它的生命周期通常很长(1个月，可能是事件1年)。如果我们把它弄丢了，小偷可以用我们的资源做任何事。因此，刷新令牌仅在客户端和身份验证服务器之间交换。身份验证服务器永远不会丢失作为刷新令牌的安全数据，客户端和身份验证服务器之间的连接是可信的，因为如果我们不能信任身份验证服务器，我们的所有信息从一开始就已经丢失了，我们没有任何方法来保存它。