为什么Ember-Simple-Auth支持刷新令牌？(JS + OAuth 2.0)

Question

根据我在Javascript 2.0规范中所读到的内容，不建议在浏览器中存储任何可以通过OAuth访问的机密信息。

这里的讨论似乎也在这一点上达成了一致：OAuth2在HTML5网络应用程序中的应用

我目前正在构建一个基于Ember的应用程序，作为我的REST风格的API后端的前端，我使用Ember-Simple-Auth作为处理用户登录的库，它实现了资源所有者密码凭据工作流，并且明确支持刷新令牌。

我读过OAuth 2.0中的“资源所有者密码凭据”授予类型允许使用刷新tokes，但这一段中的文本是针对客户端的一个非常一般的定义编写的。

由于Ember.js是一个在浏览器中运行的编写单页now应用程序的框架，我现在想知道.

在Ember应用程序中使用刷新令牌安全吗？上述讨论似乎不一致。这使我想到：

为什么Ember-Simple-Auth支持刷新令牌？

谢谢你花时间考虑。最好的！马库斯

Answer 1

使用刷新令牌比不使用刷新令牌安全的唯一一点是刷新令牌未过期。因此，如果有人能够实际进入你的机器(或某物)。如果wrt中断，则访问令牌可能已经过期，而刷新令牌仍处于活动状态，可用于获取新的访问令牌(意味着安全漏洞永远存在)。

对此的支持是根据流行的需求内置到Ember.SimpleAuth中的。不过，有两件事要说:除了让用户确保没有人能够对他们的机器进行物理访问(这是大多数站点所必需的安全策略，因为没有站点通常会过期或很长时间后)，客户机和服务器只能通过(正确设置) HTTPS进行通信至关重要。第二件事是，Ember.SimpleAuth只在服务器响应中有刷新令牌时才使用刷新令牌。因此，如果您关心这个问题(我认为这是正确的)，那么首先不要在服务器端启用刷新令牌。