मैं एक oAuth2 सर्वर विकसित कर रहा हूं और मैंने इस सवाल पर ठोकर खाई है।क्या एक ओथ सर्वर एक ही क्लाइंट अनुरोध के लिए समान पहुंच देना चाहिए?
आइए एक परिदृश्य मान लें जहां मेरे टोकन एक घंटे के भीतर समाप्त हो जाते हैं। इस समय सीमा पर, कुछ ग्राहक उसी client_id
और उसी redirect_uri
का उपयोग करके पचास बार निहित लेख के माध्यम से जाते हैं। मूल रूप से वही सब कुछ।
क्या मुझे इसे उसी accessToken
को बाद के लोगों पर पहले अनुरोध पर जेनरेट किया जाना चाहिए जब तक कि यह समाप्त नहीं हो जाता है या मुझे प्रत्येक अनुरोध पर नया accessToken
जारी करना चाहिए?
एक ही टोकन भेजने का लाभ यह है कि मैं सर्वर पर किसी ग्राहक के पुराने और अप्रयुक्त टोकन नहीं छोड़ूंगा, एक वैध टोकन अनुमान लगाने की कोशिश कर रहे हमलावर के लिए विंडो को कम करना।
मुझे पता है कि मुझे चीजों को रेट-सीमित करना चाहिए और मैं इसे कर रहा हूं, लेकिन हजारों विभिन्न मशीनों से बड़े बोनेट के हमले के मामले में, कुछ सीमाएं तुरंत प्रभावी नहीं होंगी।
हालांकि, मुझे इस समाधान के डाउनसाइड्स के बारे में निश्चित नहीं है और यही कारण है कि मैं यहां आया था। क्या यह एक वैध समाधान है?
के बजाय AS के साथ टोकन संग्रहीत कर रहा हूं मैं आपके तीसरे बिंदु से भ्रमित हूं। ओपी में "राज्य" पैरामीटर का कोई उल्लेख नहीं है। मुझे नहीं लगता कि नया टोकन प्राप्त करने के लिए राज्य को पैरामीटर के रूप में भेजा जाएगा। –
@ किरणशक्ति ग्राहक एक राज्य पैरामीटर भेजने या भेजने के लिए स्वतंत्र है। कॉन्फ़िगरेशन रीडायरेक्ट यूआरआई के प्रमाणीकरण अनुरोध के साथ पारित होने पर प्राधिकरण सर्वर को राज्य पैरामीटर भेजना होगा। Https://tools.ietf.org/html/rfc6749#section-4.2.2 देखें। तो यह प्रासंगिक है। – vap78
बिंदु 2 में और अनुरोध हैं जहां प्रतिक्रिया समय धीमा हो सकता है। अगर मैं गलत हूं तो मुझे सही करें – Prageeth