telemsg 最近的时间轴更新 telemsg 最近的时间轴更新 |
telemsgV2EX 第 448326 号会员,加入于 2019-10-22 11:04:40 +08:00今日活跃度排名 17246 |
telemsg 最近回复了
1 天前 回复了 MingLovesLife 创建的主题 › 程序员 › 不懂就问,请教一下前端无感刷新 token 到底有没有意义? |
产生了新的疑问:
有几位提到了 at 不可修改,所以一般有效期设置的较短,那么
1. 当用户修改了账号密码时,会主动通知资源服务器 at 过期了吗?
2. 我不知道 1 的答案,所以先假设不通知,那该怎么办呢?
1 )通知了也没有用,at 就是无状态的,所以尽量是配置较短的时间
这里延伸出另一个问题: 如何做单点退出? (简单来说就是要清理 client token, at 本身还是有效的)
有几位提到了 at 不可修改,所以一般有效期设置的较短,那么
1. 当用户修改了账号密码时,会主动通知资源服务器 at 过期了吗?
2. 我不知道 1 的答案,所以先假设不通知,那该怎么办呢?
1 )通知了也没有用,at 就是无状态的,所以尽量是配置较短的时间
这里延伸出另一个问题: 如何做单点退出? (简单来说就是要清理 client token, at 本身还是有效的)
1 天前 回复了 MingLovesLife 创建的主题 › 程序员 › 不懂就问,请教一下前端无感刷新 token 到底有没有意义? |
1. 既然 rt 长期有效,直接用 rt 有啥问题
2. 如果从安全考虑,rt 被抓包拿了,也没辙呀
3. 既然后端知道用户操作了,如果是非异常操作,就自动给 token 延时行不?
1 ) rt 过期了咋办? 重新登陆微信? rt+at 能灵活控制过期时间 ( rt 还能 revoke )
2 )对。 什么技术抓包也没有办法。 尽量 https
3) 自动延时? 什么情况触发? 我开发业务还需要关心? 你们在网关配置好,我业务开发可不管 (分离)
2. 如果从安全考虑,rt 被抓包拿了,也没辙呀
3. 既然后端知道用户操作了,如果是非异常操作,就自动给 token 延时行不?
1 ) rt 过期了咋办? 重新登陆微信? rt+at 能灵活控制过期时间 ( rt 还能 revoke )
2 )对。 什么技术抓包也没有办法。 尽量 https
3) 自动延时? 什么情况触发? 我开发业务还需要关心? 你们在网关配置好,我业务开发可不管 (分离)
Select Language