为什么要使用refresh token?为何会更安全?

普通的token方案 有效期设置过长不安全,过短需要频繁重新登录,体验差。

access token 有效期短,如果被盗损失更小,所以安全性更高。
如果refresh token被盗了,想刷新access token的话,也需要提供过期的access token。盗取难度增加。

同时refresh token只有在第一次获取和刷新access token时才会在网络中传输
被盗的风险远小于access token 从而在一定程度上更安全了一点
所谓的更安全就是让盗取信息者更不容易获得而已。

参考文章:
没有理解refresh token的必要性或者说其为何比access token安全 - Java技术 - Java - 水木社区 (newsmth.net)

你可能感兴趣的:(为什么要使用refresh token?为何会更安全?)