TL; DR: Sí, los tokens de actualización son token de portador y, por lo tanto, deben estar protegidos.
Los tokens de actualización son potentes porque en general son:
- largo plazo: lo que significa que tienen largos tiempos de caducidad
- capacidad privilegiada: lo que significa que le permiten al portador renovar su token de acceso.
Los tokens de actualización
también son tokens portadores , lo que significa que el servicio que consume el token dará acceso al portador del token, sin preguntas. Esto es similar a los tokens de acceso.
Por lo tanto, es muy importante asegurarse de que las fichas de portador estén protegidas y almacenadas de forma segura. Cuanto más crítico sea un token, mejor debe estar protegido.
Como ejemplo en OAuth2, el flujo implícito que generalmente se usa con las aplicaciones móviles, la aplicación del lado del cliente tiene un token de acceso de corta duración. Por lo general, tampoco reciben un token de actualización. Dado que una aplicación del lado del cliente se puede comprometer fácilmente y cualquier dato / tokens puede verse comprometido, sus tokens de portador tienen privilegios y vida útil limitados.
En contraste, en el flujo de código de autorización OAuth2 que generalmente se usa con las aplicaciones del lado del servidor, la aplicación del servidor recibe un token de acceso de mayor duración y / o un token de actualización. Esto se debe a que se supone que el lado del servidor es más confiable y menos probable que se vea comprometido. Dicho esto, los tokens del lado del servidor todavía deben almacenarse de forma segura dado su patrón de uso.
Para resumir, al decidir qué tipo de tokens necesita, marque:
- el nivel de confianza de su cliente y el flujo más apropiado para ese nivel de confianza
- ¡Protege tus fichas!