易坊好文馆

  1. 首页 > 玩科技 >

「应用安全」OAuth和OpenID Connect的全面比较(23)

自包含的样式看起来很好 , 因为有一些优点 , 例如“无需查询授权服务器来提取访问令牌的信息”和“无需在授权服务器端维护访问令牌记录” , 但是当你考虑访问令牌撤销 , 有讨论的余地 。

7.2 。 访问令牌删除

为防止数据库无限增长 , 应定期从数据库中删除过期的访问令牌 。

请求授权服务器不必要地发出访问令牌的客户端应用程序是麻烦制造者 。 虽然他们已经有一个尚未过期的访问令牌 , 但他们会重复丢弃这样一个有效的访问令牌并请求新的令牌 。 如果发生这种情况 , 则会在数据库中累积未使用但无法删除的访问令牌(因为它们尚未过期) 。

要防止出现这种情况 , 请将访问令牌最后一次使用的时间戳保存到数据库中 , 以及访问令牌到期的时间戳 , 并定期运行程序 , 以便长时间删除未使用的访问令牌 。 当然 , 它取决于服务的特性是否可以在未过期时删除未使用的访问令牌 。

在此之前 , 我遇到了一位工程师 , 他在某个大公司的OAuth实施项目中工作 , 而他却属于该公司 。 他告诉我 , 系统的构建没有考虑访问令牌的删除 , 因此系统的数据库可能拥有数以亿计的访问令牌 。 吓人 , 可怕 。 当开发生成某个东西的系统时 , 应该同时考虑删除生成的东西的时间 。

推荐阅读


上一篇:海尔总裁周云杰:企业价值不在规模 用户资源才是核心

下一篇:四五十岁妈妈在家别穿背心裤头,这9款家居服,清凉显年轻