OAuth2のRefresh Tokenは紐付いたProtected Resourceを複数持ってるAuthorization Serverのためにある
from
2021-04-11
OAuth2
の
Refresh Token
って紐付いた
Protected Resource
を複数持ってる
Authorization Server
のためにあるんだ
Protected Resource
の一部がクラックされて、
Access Token
が漏れることが考えられる
このためにAccess Tokenの有効期限を短くするが、そのままやると何度も認証させられてダルい
cronとかで回すやつがそんなんだったら嫌ですよね?
ここで、
Public Client
だったらもう諦めて何度も認証するしかないが、認証情報を安全に保持できることが仮定されている
Confidential Client
なら、Refresh Tokenを持っておくことでAccess Tokenを再取得できる
つまり、Serverのほうの安全のための技術であって、
Clientの安全の技術ではない