0
この質問は既に尋ねられている可能性がありますが、refresh_tokenの共有に関する情報はありません。リフレッシュトークンとクライアントIDの共有
したがって、Azure Native API to Web APIのシナリオを使用してユーザーを認証しています。 私のクライアントマシンには、実行時にユーザを認証し、access_tokenとrefresh_tokenを生成するpythonスクリプトがあります。これを行うには、ネイティブアプリのclient_id(ネイティブアプリの場合はclient_secretは不要)のスクリプトがあります。認証されると、トークンを使用してweb-apiにアクセスします。
質問:client_id、access_tokenとrefresh_tokenにコードと利益のアクセスにユーザーがハックは、彼がトークンを生成し、Web APIにアクセスするためにそれらを使用することができれば、クライアントアプリケーションは、これらすべての情報を持っているので?
access_tokenを10分に短くしますが、client_idとrefresh_tokenを保持すると、彼は必要な数のトークンを生成してWeb APIにアクセスできます。 1台のマシンのrefresh_tokenは別のマシンで動作しますか? refresh_tokensは、IPまたはMACまたは何かに基づいたマシンにバインドされているというMicrosoftの文書は見つかりません。
安全に保管されていますか?クライアントアプリケーションはクライアントマシンに置かれているので、どうすれば安全に保管できますか?それは私の懸念です –
「OAuth 2.0脅威モデルとセキュリティの考慮事項」RFC、特に「脅威:リフレッシュトークンの取得」セクションを参照してください。https://tools.ietf.org/html/rfc6819#page-17 – andresm53
各プラットフォームが推奨していますトークンを格納する記憶域。 Webブラウザの場合は、localstorageが良好です。 –