面试题答案
一键面试基本流程
- 初始授权:用户向客户端应用发起资源访问请求,客户端应用将用户重定向到授权服务器进行授权。用户在授权服务器上进行身份验证并同意授权,授权服务器返回授权码给客户端应用。
- 获取访问令牌和刷新令牌:客户端应用使用授权码向授权服务器请求访问令牌和刷新令牌。授权服务器验证授权码的有效性后,向客户端应用颁发访问令牌和刷新令牌。
- 使用访问令牌访问资源:客户端应用使用访问令牌向资源服务器请求访问受保护资源,资源服务器验证访问令牌的有效性,若有效则返回受保护资源给客户端应用。
- 访问令牌过期处理:当访问令牌过期后,客户端应用使用刷新令牌向授权服务器请求新的访问令牌。授权服务器验证刷新令牌的有效性后,颁发新的访问令牌(有时可能同时颁发新的刷新令牌)。客户端应用可以使用新的访问令牌继续访问受保护资源。
刷新令牌的作用
- 获取新的访问令牌:当访问令牌过期时,客户端应用无需用户再次进行授权操作,通过刷新令牌可获取新的访问令牌,保证应用对资源的持续访问。
- 安全保障:刷新令牌通常长期有效且存储在服务器端,相比访问令牌更安全。即使访问令牌泄露,攻击者由于没有刷新令牌也无法获取新的访问令牌,降低安全风险。
访问令牌的作用
- 资源访问凭证:用于向资源服务器证明客户端应用的身份和授权,资源服务器通过验证访问令牌来决定是否允许客户端应用访问受保护资源。
- 短期有效性:访问令牌有效期较短,降低了令牌泄露带来的风险,即使被窃取,在有效期过后也无法再用于非法访问资源。