gpt4 book ai didi

security - 是否可以使用我的服务器作为代理来获取 jwt 刷新 token ?

转载 作者:行者123 更新时间:2023-12-02 22:14:41 24 4
gpt4 key购买 nike

我正在创建一个系统,其中的代理需要刷新 token 才能向系统报告数据。用户将通过我的网络应用程序为代理提供 token 。

我正在尝试让我的服务器将对刷新 token 的请求传递给我的身份验证提供程序 (auth0)。流程是

  1. 用户点击“配置”,
  2. 我的服务器尝试使用为客户端创建的不记名 token 前往 auth0 获取 token
  3. 我将刷新 token 保存到服务器的数据存储区
  4. 我的服务器将 token 与代理程序包捆绑在一起,并将其下载到客户端。

不过,我对第 2 步感到困惑。服务器使用有效的承载 token 调用离线/刷新 token ,但 auth0 服务器返回说它需要登录并通过回调 URL。

不太确定我的计划是否可行。这可行吗?

如果这不可行,那么使用任何 jwt 库为我的代理创建我自己的刷新 token 来签署一些 token 请求,然后在提供刷新 token 时颁发我自己的访问 token 是否安全?

编辑:我对流程进行了一些修改,以便在客户端中调用刷新 token 的请求。我收到一个回调 URL,其中包含刷新 token 本身或授权代码,我可以将其传回我的服务器。在浏览器 URL 中包含刷新 token 似乎非常不安全!授予代码似乎更安全一些,但我仍然无法在服务器端获取刷新 token 。

最佳答案

这些代理安全吗?为了使事情更清楚,请定义您为客户端、Web 服务器和代理(应用程序)使用的技术。

您将无法在网络服务器上检索刷新 token 。刷新 token 旨在让长时间运行的客户端在当前 token 过期时获取 access_token。如果您的代理是安全的,您可以使用客户端凭据授予来获取访问 token 。我认为这个流程至少与代理上有刷新 token 一样安全。如果可以选择此流程,请告诉我。

谢谢你,索玛。

关于security - 是否可以使用我的服务器作为代理来获取 jwt 刷新 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36760859/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com