Dưới đây tôi đã thêm mã Full Index.cshtml của mình. Trong Ajax, hãy gọi nó là phương thức thành công. Nhưng tôi không thể tải lại hoặc làm mới bảng mà không cần làm mới trang.
Mã dưới đây rất đơn giản trong khi nhấp vào nút Gửi cho các bộ lọc Tôi đang gọi Phương thức Subbilfilter, nó chuyển hướng đến phương thức C# ở đó Tôi đang lưu trữ kết quả trong biến Jarray .. Sau đó, cố gắng tải lại bảng ...
Đây là màn hình đầu ra mẫu
SUBMIT
| Type | Status | @foreach [dynamic transaction in @Model.Transactions] {|
| @transaction.transaction_number | @transaction.type | @transaction.status |
Bài đăng này sẽ khám phá khái niệm về mã thông báo làm mới theo định nghĩa của OAuth 2.0. Chúng tôi sẽ tìm hiểu cách chúng so sánh với các loại mã thông báo khác và cách chúng cho phép chúng tôi cân bằng bảo mật, khả năng sử dụng và quyền riêng tư.
Mã thông báo là gì?
Mã thông báo là những phần dữ liệu mang đủ thông tin để tạo điều kiện cho quá trình xác định danh tính của người dùng hoặc ủy quyền cho người dùng thực hiện hành động. Tất cả trong tất cả, mã thông báo là các tạo tác cho phép các hệ thống ứng dụng thực hiện quy trình ủy quyền và xác thực.
Mới đối với các khái niệm nhận dạng? Đọc xác thực so với ủy quyền để bắt đầu.
Các khung và giao thức nhận dạng phổ biến sử dụng các chiến lược dựa trên mã thông báo để đảm bảo quyền truy cập vào các ứng dụng và tài nguyên. Ví dụ: chúng ta có thể sử dụng OAuth 2.0 để ủy quyền và OIDC để xác thực.
OAuth 2.0 là một trong những khung ủy quyền phổ biến nhất hiện có. Nó được thiết kế để cho phép một ứng dụng truy cập tài nguyên được lưu trữ bởi các máy chủ khác thay mặt cho người dùng. OAuth 2.0 sử dụng mã thông báo truy cập và mã thông báo làm mới.Access Tokens and Refresh Tokens.
OpenID Connect [OIDC] là một giao thức nhận dạng thực hiện xác thực người dùng, đồng ý người dùng và phát hành mã thông báo. OIDC sử dụng mã thông báo ID.ID Tokens.
Hãy khám phá ba loại mã thông báo mà chúng tôi sử dụng với OAuth 2.0 và OpenID Connect để thực hiện các quy trình xác thực và ủy quyền của các hệ thống ứng dụng của chúng tôi. Trong quá trình này, chúng ta sẽ thấy vai trò quan trọng là làm mới mã thông báo trong việc giúp các nhà phát triển xây dựng các ứng dụng cung cấp sự thuận tiện mà không ảnh hưởng đến bảo mật.
Các loại mã thông báo
Mã thông báo ID là gì?
Như tên có thể đề xuất, mã thông báo ID là một tạo tác mà các ứng dụng khách có thể sử dụng để tiêu thụ danh tính của người dùng. Ví dụ: mã thông báo ID có thể chứa thông tin về tên, email và ảnh hồ sơ của người dùng. Do đó, các ứng dụng khách có thể sử dụng mã thông báo ID để xây dựng hồ sơ người dùng để cá nhân hóa trải nghiệm người dùng.
Máy chủ xác thực phù hợp với giao thức OpenID Connect [OIDC] để thực hiện quy trình xác thực sẽ phát hành mã thông báo ID của máy khách bất cứ khi nào người dùng đăng nhập. các ứng dụng. Họ là những đối tượng dự định.
Mã thông báo truy cập là gì?
Khi người dùng đăng nhập, máy chủ ủy quyền sẽ đưa ra mã thông báo truy cập, đây là một tạo tác mà các ứng dụng khách có thể sử dụng để thực hiện các cuộc gọi an toàn đến máy chủ API. Khi ứng dụng khách cần truy cập các tài nguyên được bảo vệ trên máy chủ thay mặt cho người dùng, mã thông báo truy cập cho phép máy khách báo hiệu cho máy chủ rằng người dùng đã nhận được sự ủy quyền của người dùng để thực hiện một số tác vụ hoặc truy cập một số tài nguyên nhất định.
OAuth 2.0 không xác định định dạng cho mã thông báo truy cập. Ví dụ, tại Auth0, các mã thông báo truy cập được cấp cho API quản lý và mã thông báo truy cập được cấp cho bất kỳ API tùy chỉnh nào mà bạn đã đăng ký với Auth0 theo tiêu chuẩn Token Web [JWT] của JSON. Cấu trúc cơ bản của chúng phù hợp với cấu trúc JWT điển hình và chúng chứa các yêu cầu JWT tiêu chuẩn được khẳng định về chính mã thông báo.
Đây là nội dung của mã thông báo truy cập được giải mã tuân theo định dạng JWT:
{
"iss": "//YOUR_DOMAIN/",
"sub": "auth0|123456",
"aud": [
"my-api-identifier",
"//YOUR_DOMAIN/userinfo"
],
"azp": "YOUR_CLIENT_ID",
"exp": 1489179954,
"iat": 1489143954,
"scope": "openid profile email address phone read:appointments"
}Điều quan trọng là nhấn mạnh rằng mã thông báo truy cập là mã thông báo của người mang. Những người giữ mã thông báo có thể sử dụng nó. Mã thông báo truy cập sau đó hoạt động như một tạo tác thông tin xác thực để truy cập các tài nguyên được bảo vệ thay vì một tạo tác nhận dạng. Người dùng độc hại về mặt lý thuyết có thể thỏa hiệp một hệ thống và đánh cắp các mã thông báo truy cập, từ đó họ có thể sử dụng để truy cập các tài nguyên được bảo vệ bằng cách trình bày các mã thông báo đó trực tiếp lên máy chủ.
Do đó, điều quan trọng là phải có các chiến lược bảo mật nhằm giảm thiểu rủi ro thỏa hiệp với các mã thông báo truy cập. Một phương pháp giảm thiểu là tạo các mã thông báo truy cập có tuổi thọ ngắn: chúng chỉ có giá trị trong một thời gian ngắn được xác định theo giờ hoặc ngày.
Có nhiều cách khác nhau mà ứng dụng khách có thể nhận được mã thông báo truy cập mới cho người dùng. Ví dụ: khi mã thông báo truy cập hết hạn, ứng dụng máy khách có thể nhắc người dùng đăng nhập lại để nhận mã thông báo truy cập mới. Ngoài ra, máy chủ ủy quyền có thể phát hành mã thông báo làm mới cho ứng dụng máy khách cho phép nó thay thế mã thông báo truy cập đã hết hạn bằng một mã mới.
Bạn có thể thấy cả mã thông báo ID và mã thông báo truy cập hoạt động trong bất kỳ "Hướng dẫn hoàn chỉnh để xác thực người dùng" của chúng tôi có sẵn cho React, Angular, Vue và Node.js!see both ID tokens and access tokens in action in any of our "Complete Guides to User Authentication" available for React, Angular, Vue, and Node.js!
Mã thông báo làm mới là gì?
Như đã đề cập, đối với mục đích bảo mật, mã thông báo truy cập có thể có giá trị trong một khoảng thời gian ngắn. Khi chúng hết hạn, các ứng dụng khách có thể sử dụng mã thông báo làm mới để "làm mới" mã thông báo truy cập. Đó là, mã thông báo làm mới là một tạo tác thông tin xác thực cho phép ứng dụng khách có được mã thông báo truy cập mới mà không phải yêu cầu người dùng đăng nhập lại.
Trong sơ đồ trên, spa = ứng dụng một trang; Như = máy chủ ủy quyền; RS = Máy chủ tài nguyên; At = mã thông báo truy cập; RT = Làm mới mã thông báo.
Ứng dụng máy khách có thể nhận được mã thông báo truy cập mới miễn là mã thông báo làm mới là hợp lệ và không mong muốn. Do đó, một mã thông báo làm mới có tuổi thọ rất dài về mặt lý thuyết có thể cung cấp sức mạnh vô hạn cho người mang mã thông báo để có được mã thông báo truy cập mới để truy cập các tài nguyên được bảo vệ bất cứ lúc nào. Người mang mã thông báo làm mới có thể là người dùng hợp pháp hoặc người dùng độc hại. Do đó, các công ty bảo mật, chẳng hạn như Auth0, tạo ra các cơ chế để đảm bảo rằng mã thông báo mạnh mẽ này được giữ và sử dụng liên tục bởi các bên dự định.
Khi nào nên sử dụng mã thông báo làm mới
Điều quan trọng là phải nhớ rằng đặc tả OAuth 2.0 xác định mã thông báo truy cập và làm mới mã thông báo. Vì vậy, nếu chúng ta thảo luận về các chiến lược ủy quyền theo các giao thức hoặc khung nhận dạng khác, chẳng hạn như SAML, chúng ta sẽ không có các khái niệm về mã thông báo truy cập hoặc làm mới mã thông báo.
Đối với những người liên quan đến phát triển web, mã thông báo truy cập và mã thông báo làm mới là cuộc nói chuyện phổ biến vì Web sử dụng rộng rãi ủy quyền và xác thực dựa trên mã thông qua khung OAuth 2.0 và giao thức OpenID Connect.
Khi kết hợp, OAuth 2.0 và OIDC mang đến một loạt các luồng ủy quyền và xác thực. Mỗi luồng có bộ lợi ích và cảnh báo riêng xác định các kịch bản và kiến trúc tốt nhất nơi chúng ta nên sử dụng truy cập và làm mới mã thông báo.
Khách hàng có phải là ứng dụng web truyền thống thực thi trên máy chủ không? Sử dụng luồng mã ủy quyền.
Máy khách có phải là một ứng dụng một trang [SPA] không? Sử dụng luồng mã ủy quyền với khóa bằng chứng để trao đổi mã [PKCE].
Máy khách có phải là ứng dụng một trang [SPA] không cần mã thông báo truy cập không? Sử dụng dòng chảy ngầm với bài mẫu.
Khách hàng có phải là chủ sở hữu tài nguyên không? Bạn có thể sử dụng luồng thông tin đăng nhập của khách hàng.
Là khách hàng hoàn toàn tin cậy với thông tin đăng nhập của người dùng? Bạn có thể sử dụng luồng mật khẩu của chủ sở hữu tài nguyên.
Nếu có một ứng dụng cho điều đó, cũng có một luồng cho điều đó!
Hãy nhớ rằng theo thông số kỹ thuật, khi sử dụng luồng ngầm, máy chủ ủy quyền không nên phát hành các mã thông báo làm mới. Lưu lượng ngầm thường được triển khai trong các ứng dụng một trang [SPA], chạy trên lớp phía trước của kiến trúc hệ thống. Không có cách nào dễ dàng để giữ một mã thông báo làm mới an toàn trong lớp frontend.
Sử dụng luồng mã ủy quyền với khóa bằng chứng để trao đổi mã [PKCE] giảm thiểu nhiều rủi ro vốn có của luồng ngầm. Ví dụ: khi sử dụng loại cấp tài trợ ngầm, mã thông báo truy cập được truyền trong đoạn URI, có thể đưa nó đến các bên trái phép. Bạn có thể tìm hiểu thêm về các lỗ hổng này bằng cách đọc "sử dụng sai mã thông báo truy cập để mạo danh chủ sở hữu tài nguyên trong dòng chảy ngầm" của thông số kỹ thuật.
Tuy nhiên, việc thực hiện PKCE trong các ứng dụng của bạn vẫn không ảnh hưởng đến mức độ làm mới của mã thông báo.
Tuy nhiên, bạn có thể không cần phải làm mới mã thông báo.
Có những tình huống mà bạn vẫn có thể nhận được mã thông báo truy cập mà không làm gián đoạn người dùng và không dựa vào sức mạnh toàn năng của mã thông báo làm mới. Các ví dụ khác để giữ cho một phiên đi có thể là cookie hoặc xác thực im lặng.
Tuy nhiên, hàng tỷ người sử dụng spa mỗi ngày. Điều quan trọng là cung cấp cho người dùng trải nghiệm người dùng cân bằng bảo mật và thuận tiện tốt. Có bất cứ điều gì chúng ta có thể làm để cho các spa đủ khả năng thuận tiện cho việc làm mới mã thông báo theo cách ít rủi ro và an toàn hơn?
Absolutely!
Một nền tảng nhận dạng cung cấp vòng quay mã thông báo làm mới giúp sử dụng mã thông báo làm mới với các ứng dụng một trang. Thông số kỹ thuật nhấn mạnh rằng khi bạn không thể xác minh rằng mã thông báo làm mới thuộc về một khách hàng, một spa như vậy, chúng ta nên sử dụng chúng trừ khi chúng ta có xoay vòng xoay mã thông báo tại chỗ.
Chúng ta hãy tìm hiểu thêm về chiến lược bảo mật này trong phần tiếp theo.
Giữ cho mã thông báo làm mới an toàn
Mã thông báo truy cập ngắn gọn giúp cải thiện tính bảo mật của các ứng dụng của chúng tôi, nhưng nó đi kèm với chi phí: Khi hết hạn, người dùng cần đăng nhập lại để có được một ứng dụng mới. Xác thực lại thường xuyên có thể làm giảm trải nghiệm người dùng nhận thức về ứng dụng của bạn. Ngay cả khi bạn đang làm như vậy để bảo vệ dữ liệu của họ, người dùng có thể thấy dịch vụ của bạn bực bội hoặc khó sử dụng.
Một mã thông báo làm mới có thể giúp bạn cân bằng bảo mật với khả năng sử dụng. Vì việc làm mới mã thông báo thường tồn tại lâu hơn, bạn có thể sử dụng chúng để yêu cầu các mã thông báo truy cập mới sau khi các mã thông báo truy cập ngắn hơn hết hạn.
Tuy nhiên, vì mã thông báo làm mới cũng là mã thông báo mang, chúng ta cần phải có một chiến lược thay thế cho việc hạn chế hoặc hạn chế việc sử dụng của họ nếu chúng bị rò rỉ hoặc bị xâm phạm. Tất cả những người giữ mã thông báo làm mới đều có khả năng để có được mã thông báo truy cập mới bất cứ khi nào họ muốn. "Họ" có thể là người dùng hợp pháp hoặc kẻ tấn công.
Tại Auth0, chúng tôi đã tạo ra một tập hợp các tính năng giảm thiểu các rủi ro liên quan đến việc sử dụng mã thông báo làm mới bằng cách áp đặt các biện pháp bảo vệ và kiểm soát trong vòng đời của chúng. Nền tảng nhận dạng của chúng tôi cung cấp vòng quay mã thông báo làm mới, cũng đi kèm với phát hiện tái sử dụng tự động.
Hãy đi sâu hơn vào kỹ thuật bảo mật này.
Làm mới vòng xoay mã thông báo
Cho đến gần đây, một chiến lược mạnh mẽ để giúp các spa duy trì phiên của người dùng là sử dụng luồng mã ủy quyền với PKCE kết hợp với xác thực im lặng. Làm mới vòng quay mã thông báo là một kỹ thuật để có được các mã thông báo truy cập mới bằng cách sử dụng mã thông báo làm mới vượt ra ngoài xác thực im lặng.
Xoay xoay mã thông báo đảm bảo rằng mỗi khi ứng dụng trao đổi mã thông báo làm mới để có được mã thông báo truy cập mới, mã thông báo làm mới mới cũng được trả về. Do đó, bạn không còn có mã thông báo làm mới lâu dài có thể cung cấp quyền truy cập bất hợp pháp vào các tài nguyên nếu nó bị xâm phạm. Mối đe dọa truy cập bất hợp pháp được giảm xuống khi mã thông báo làm mới liên tục được trao đổi và vô hiệu.
Ví dụ: với vòng quay mã thông báo làm mới được bật trong bảng điều khiển Auth0, mỗi khi ứng dụng của bạn trao đổi mã thông báo làm mới để có được mã thông báo truy cập mới, máy chủ ủy quyền cũng trả về một cặp mã thông báo truy cập làm mới mới. Bảo vệ này giúp ứng dụng của bạn giảm thiểu các cuộc tấn công phát lại do các mã thông báo bị xâm phạm.
Làm mới mã thông báo phát hiện tái sử dụng tự động
Làm mới mã thông báo là mã thông báo của người mang. Máy chủ ủy quyền không thể biết ai là người hợp pháp hoặc độc hại khi nhận được yêu cầu mã thông báo truy cập mới. Sau đó chúng tôi có thể coi tất cả người dùng là có khả năng độc hại.
Làm thế nào chúng ta có thể xử lý một tình huống có điều kiện chủng tộc giữa người dùng hợp pháp và một tình huống độc hại? Ví dụ:
Người dùng hợp pháp có 🔄 Làm mới mã thông báo 1 và 🔑 Mã thông báo truy cập 1. has 🔄 Refresh Token 1 and 🔑 Access Token 1.
Người dùng độc hại quản lý để đánh cắp 🔄 Làm mới mã thông báo 1 từ người dùng hợp pháp. manages to steal 🔄 Refresh Token 1 from 🐱 Legitimate User.
Người dùng hợp pháp sử dụng 🔄 Làm mới mã thông báo 1 để có được một cặp mã thông báo truy cập làm mới mới. uses 🔄 Refresh Token 1 to get a new refresh-access token pair.
Máy chủ ủy quyền 🚓 Auth0 trả về 🔄 Làm mới mã thông báo 2 và 🔑 Mã thông báo truy cập 2 cho người dùng hợp pháp.🚓 Auth0 Authorization Server returns 🔄 Refresh Token 2 and 🔑 Access Token 2 to 🐱 Legitimate User.
Sau đó, người dùng độc hại cố gắng sử dụng 🔄 Làm mới mã thông báo 1 để có mã thông báo truy cập mới. Tội ác thuần túy! then attempts to use 🔄 Refresh Token 1 to get a new access token. Pure evil!
Bạn nghĩ điều gì sẽ xảy ra tiếp theo? Người dùng độc hại có quản lý để có được mã thông báo truy cập mới không?😈 Malicious User manage to get a new access token?
Đây là những gì xảy ra khi nền tảng danh tính của bạn có 🤖 Phát hiện tái sử dụng tự động:🤖 Automatic Reuse Detection:
Máy chủ ủy quyền 🚓 Auth0 đã theo dõi tất cả các mã thông báo làm mới giảm từ mã thông báo làm mới ban đầu. Đó là, nó đã tạo ra một "gia đình mã thông báo".🚓 Auth0 Authorization Server has been keeping track of all the refresh tokens descending from the original refresh token. That is, it has created a "token family".
Máy chủ ủy quyền 🚓 Auth0 nhận ra rằng ai đó đang sử dụng lại 🔄 Làm mới mã thông báo 1 và ngay lập tức làm mất hiệu lực của gia đình mã thông báo làm mới, bao gồm cả 🔄 làm mới mã thông báo 2.🚓 Auth0 Authorization Server recognizes that someone is reusing 🔄 Refresh Token 1 and immediately invalidates the refresh token family, including 🔄 Refresh Token 2.
Máy chủ ủy quyền 🚓 Auth0 trả về một phản hồi bị từ chối truy cập cho người dùng độc hại.🚓 Auth0 Authorization Server returns an Access Denied response to 😈 Malicious User.
Truy cập mã thông báo 2 hết hạn và người dùng hợp pháp cố gắng sử dụng 🔄 Làm mới mã thông báo 2 để yêu cầu một cặp mã thông báo truy cập làm mới mới. expires, and 🐱 Legitimate User attempts to use 🔄 Refresh Token 2 to request a new refresh-access token pair.
Máy chủ ủy quyền 🚓 Auth0 trả về một phản hồi bị từ chối truy cập cho người dùng hợp pháp.🚓 Auth0 Authorization Server returns an Access Denied response to 🐱 Legitimate User.
Máy chủ ủy quyền 🚓 Auth0 yêu cầu xác thực lại để có quyền truy cập và làm mới mã thông báo mới.🚓 Auth0 Authorization Server requires re-authentication to get new access and refresh tokens.
Điều quan trọng đối với mã thông báo làm mới được phát hành gần đây nhất để bị vô hiệu hóa ngay lập tức khi mã thông báo làm mới được sử dụng trước đó được gửi đến máy chủ ủy quyền. Điều này ngăn chặn mọi mã thông báo làm mới trong cùng một gia đình mã thông báo được sử dụng để có được mã thông báo truy cập mới.
Cơ chế bảo vệ này hoạt động bất kể người dùng hợp pháp hay độc hại có thể trao đổi 🔄 Làm mới mã thông báo 1 cho một cặp mã thông báo truy cập làm mới mới trước cái kia. Nếu không thực thi hạn chế người gửi, máy chủ ủy quyền không thể biết diễn viên nào hợp pháp hoặc độc hại trong trường hợp tấn công phát lại.🔄 Refresh Token 1 for a new refresh-access token pair before the other. Without enforcing sender-constraint, the authorization server can't know which actor is legitimate or malicious in the event of a replay attack.
Phát hiện tái sử dụng tự động là một thành phần chính của chiến lược xoay mã thông báo làm mới. Máy chủ đã vô hiệu hóa mã thông báo làm mới đã được sử dụng. Tuy nhiên, vì máy chủ ủy quyền không có cách nào để biết liệu người dùng hợp pháp có giữ mã thông báo làm mới mới nhất hay không, nó làm mất hiệu lực toàn bộ gia đình mã thông báo để được an toàn.
Quyền riêng tư là một chủ đề nóng trong thế giới kỹ thuật số của chúng tôi. Chúng tôi không chỉ cần cân bằng bảo mật một cách thuận tiện, mà chúng tôi còn cần thêm quyền riêng tư vào Đạo luật Cân bằng.
Những phát triển gần đây trong công nghệ bảo mật trình duyệt, như phòng chống theo dõi thông minh [ITP], ngăn chặn quyền truy cập vào cookie phiên, yêu cầu người dùng phải ủy quyền lại.
Không có cơ chế lưu trữ liên tục trong trình duyệt có thể đảm bảo quyền truy cập chỉ bằng ứng dụng dự định. Do đó, các mã thông báo làm mới lâu dài không phù hợp với các spa vì có những lỗ hổng mà người dùng độc hại có thể khai thác để có được các hiện vật có giá trị cao này, cấp cho họ quyền truy cập vào các tài nguyên được bảo vệ.
Bởi vì làm mới vòng quay mã thông báo không dựa vào quyền truy cập vào cookie phiên Auth0, nên nó không bị ảnh hưởng bởi ITP hoặc các cơ chế tương tự.
Tuy nhiên, một mã thông báo làm mới có thể có tuổi thọ của nó bởi tuổi thọ của mã thông báo truy cập. Điều này có nghĩa là chúng tôi có thể sử dụng một cách an toàn các mã thông báo làm mới để chơi cùng với các công cụ bảo mật trình duyệt và cung cấp quyền truy cập liên tục cho người dùng cuối mà không làm gián đoạn trải nghiệm người dùng.
Bạn có thể lưu trữ mã thông báo làm mới trong bộ nhớ cục bộ
Bạn đã đọc đúng. Khi chúng tôi có xoay vòng xoay mã thông báo tại chỗ, chúng tôi có thể lưu trữ mã thông báo trong bộ nhớ lưu trữ hoặc bộ nhớ trình duyệt cục bộ.
Bạn có thể đã nghe trước đây [có thể từ chúng tôi] rằng chúng tôi không nên lưu trữ mã thông báo trong bộ lưu trữ cục bộ.
Lưu trữ mã thông báo trong trình duyệt lưu trữ cục bộ cung cấp sự kiên trì trên các tab Trình duyệt và Trình duyệt Tuy nhiên, nếu người dùng độc hại đã chạy JavaScript trong spa bằng cách sử dụng cuộc tấn công tập lệnh chéo [XSS], họ có thể truy xuất các mã thông báo được lưu trữ trong bộ nhớ cục bộ. Một lỗ hổng dẫn đến một cuộc tấn công XSS thành công có thể có trong mã nguồn SPA hoặc bất kỳ mã JavaScript của bên thứ ba nào mà ứng dụng tiêu thụ, chẳng hạn như Bootstrap hoặc Google Analytics.
Tuy nhiên, chúng tôi có thể giảm thời gian hết hạn mã thông báo tuyệt đối của các mã thông báo để giảm rủi ro bảo mật của việc lưu trữ mã thông báo trong kho lưu trữ cục bộ. Điều này làm giảm tác động của một cuộc tấn công XSS được phản ánh [nhưng không phải là một cuộc tấn công dai dẳng]. Một mã thông báo làm mới có thể có tuổi thọ dài theo cấu hình. Tuy nhiên, tuổi thọ dài được xác định của mã thông báo làm mới được cắt ngắn với vòng quay mã thông báo làm mới. Việc làm mới chỉ có giá trị trong tuổi thọ của mã thông báo truy cập, sẽ tồn tại trong thời gian ngắn.
Sử dụng mã thông báo làm mới trong các ứng dụng Auth0 của bạn
Nếu bạn quan tâm đến việc thêm xác thực và ủy quyền cho ứng dụng của bạn chỉ trong một vài bước, hãy đăng ký tài khoản AUTH0 miễn phí ngay bây giờ.sign up for a free Auth0 account now.
Hãy thử Nền tảng xác thực mạnh mẽ nhất miễn phí. Bắt đầu →
Tài liệu "Mã thông báo tốt nhất của chúng tôi" phác thảo một số cân nhắc cơ bản cần ghi nhớ khi sử dụng mã thông báo:
- Giữ bí mật. Giữ nó an toàn.
- Không thêm dữ liệu nhạy cảm vào tải trọng.
- Cho mã thông báo hết hạn.
- Ôm HTTPS.
- Xem xét tất cả các trường hợp sử dụng ủy quyền của bạn.
- Lưu trữ và tái sử dụng.
Bảng điều khiển Auth0 giúp dễ dàng định cấu hình các dịch vụ xác thực và ủy quyền của bạn để sử dụng mã thông báo làm mới. Auth0 SDK và thư viện hỗ trợ làm mới mã thông báo cho các ứng dụng web, ứng dụng một trang [SPA] và ứng dụng gốc/di động.
Để biết thêm tài nguyên về cách sử dụng mã thông báo làm mới với AUTH0, vui lòng truy cập bất kỳ tài liệu nào trong số này:
- Nhận mã thông báo làm mới
- Sử dụng mã thông báo làm mới
- Thu hồi mã thông báo làm mới
- Làm mới vòng xoay mã thông báo
- Định cấu hình hết hạn mã thông báo