Возможно, этот вопрос уже был задан, но я не вижу много информации о refresh_token
совместном использовании.
Итак, мы используем сценарий Azure Native API to Web API для аутентификации пользователей. На моем клиентском компьютере будет скрипт python, который при выполнении будет аутентифицировать пользователей и генерировать access_token
и refresh_token
. Для этого в сценариях есть client_id
собственного приложения (client_secret
для собственного приложения не требуется). После аутентификации мы используем токены для доступа к веб-API.
Вопрос: поскольку в клиентском приложении есть вся эта информация, если пользователь взломает код и получит доступ к client_id
, access_token
и refresh_token
, сможет ли он использовать их для создания токенов и доступа к веб-API?
Хотя мы делаем access_token
недолговечным до 10 минут, если он получит client_id
и refresh_token
, сможет ли он сгенерировать столько токенов, сколько хочет, и получить доступ к веб-API. Будет ли refresh_token
с одной машины работать на другой машине? Я не могу найти документацию от Microsoft, в которой говорится, что refresh_tokens
привязаны к машине на основе IP или MAC или чего-то еще.