單點登錄之如何平衡 Token 安全性和用戶體驗?

在 《IDaaS 技術解析系列(一)》中,我們介紹了在單點登錄中Token認證相對於傳統基於Session認證的優勢,本文繼續介紹一組相關概念:Access Token & Refresh Token。 Token作爲用戶獲取受保護資源的憑證,必須設置一個過期時間,否則一次登錄便可永久使用,認證功能就失去了意義。但是矛盾在於:過期時間設置得太長,用戶數據的安全性將大打折扣;過期時間設置得太短,用戶
相關文章
相關標籤/搜索