Срок службы токенов доступа и обновления

Приложение предназначено для использования компанией для управления внутрифирменной документацией. Эти документы могут содержать ценную информацию, поэтому это должно быть безопасное приложение. Я использую Oauth2 с токенами доступа и обновления. Токен доступа действителен в течение 15 минут, а токен обновления действителен в течение 1 дня. Я не нашел рекомендованного времени жизни для токенов.

  • 15 минут для AT и 1 день для RT - это хорошо? Если да, то почему эти значения достаточно хороши ИЛИ недостаточно хороши?
  • Каков оптимальный срок службы AT и RT для приложения, которое должно быть действительно безопасным.

Большое спасибо!


access-token oauth-2.0 oauth refresh-token
person Sirdhemond    schedule 30.10.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Gmail против банковских счетов.

Я не могу сказать, где подпадает ваш бизнес. Вы должны присутствовать на встрече со своей командой разработчиков и объяснить, что происходит, и позволить им решить. Ничего страшного, если потребуется несколько попыток и ошибок, чтобы получить правильный номер.

Но для Gmail токен обновления почти никогда не истекает. Я не могу вспомнить, когда в последний раз мне приходилось снова вводить свои учетные данные.

Для банков токен обновления кажется действительным только в течение 10 минут, и если вы не получите новый токен обновления, он станет недействительным.

И, очевидно, время истечения срока действия токена обновления должно быть больше, чем время сеанса вашего среднего пользователя.

person Honey    schedule 30.10.2019
comment
Итак, если мое приложение ближе к банку ... какой срок жизни должен иметь токен доступа, если токен обновления должен быть установлен на 10 минут? - person Sirdhemond; 30.10.2019
comment
Я выяснил, что время жизни токена обновления должно быть: RT = время жизни AT * 2; Итак, если я выберу 15 минут для токена доступа, тогда 30 минут для токена обновления будет достаточно? - person Sirdhemond; 30.10.2019
comment
Я понимаю секретность, но 10-минутное обновление для чтения нескольких файлов документации - это плохо. Подумайте, если вы перейдете на другую вкладку, а затем подойдите и посмотрите, куда вы прокручивались, чтобы исчезнуть. Я полагаю, вашим пользователям потребуется больше времени, чем простой банковский чек. Я нашел здесь Предлагается увеличить среднюю продолжительность сеанса АТ вдвое. - person Honey; 30.10.2019
comment
Я не думаю, что токен обновления должен составлять более 1–3 часов (в зависимости от того, насколько классифицированы данные) для чего-то конфиденциального. Думайте о времени истечения срока действия токена обновления как о «максимально допустимой продолжительности, когда пользователь не взаимодействует с приложением, но если пользователь возвращается, ему не нужно снова входить в систему, потому что они могут немедленно обновить свой токен обновления». Для меня «RT = время жизни AT * 2» чрезвычайно ограничивает. (некоторые сайты делают AT 30min - RT 200 дней). Но я понимаю, что ваши данные конфиденциальны. - person Honey; 30.10.2019