Закончен период действия токена обновления бизнес сети 1с

Если срок действия сертификата электронной подписи подошёл к концу, работать в сервисе «1С-Отчётность» не получится. Поэтому нужно вовремя перевыпустить электронную подпись. Расскажем, как это сделать.

Как узнать срок действия подписи

Откройте Настройки 1С-Отчётности , после чего перейдите в Настройки обмена с контролирующими органами. В открывшемся окне будет указан срок действия сертификата электронной подписи, а также срок действия лицензии сервиса.

Как обновить электронную подпись

С 1 января 2022 года действуют новые правила выдачи электронных подписей. Орган, в который следует обратиться за выпуском ЭП, зависит от того, кому она нужна — руководителю или сотруднику компании.

Об изменениях, которые произошли в правилах получения электронной подписи в 2023 году, мы рассказали в статье «Электронная подпись в 2023 году: ответы на вопросы».

У доверенных лиц Удостоверяющего центра ФНС России или непосредственно в УЦ ФНС России могут получить электронную подпись:

1С:Бизнес-сеть для ускорения, упрощения торговых операций между компаниями, использующими 1С

• Юридические лица (подпись выдаётся лицам, действующим без доверенности от имени организации);
• Индивидуальные предприниматели;
• Нотариусы.

В УЦ Федерального Казначейства выдают электронную подпись должностным лицам государственных органов или органов местного самоуправления.

Организации финансового сектора получают подпись в УЦ Центробанка РФ.

Физические лица и сотрудники организаций и ИП могут получить электронную подпись в коммерческих УЦ, получивших аккредитацию после 1 июля 2021 года.

Для выпуска квалифицированной электронной подписи необходимо иметь при себе:

• основной документ, удостоверяющий личность (паспорт);
• документ о страховом номере индивидуального лицевого счёта (СНИЛС);
• сведения об идентификационном номере налогоплательщика (ИНН);
• сертифицированный носитель (USB-токен) для записи на него ключей электронной подписи.

Для использования КЭП на компьютере необходимо также установить СКЗИ.

Как обновить электронную подпись на руководителя

Для отправки заявления подписание электронной подписью не требуется. Для получения электронной подписи потребуется личное посещение инспекции ФНС.

1. Выберите подразделение ФНС, в котором вы хотите получить подпись, и запишитесь в него. Список подразделений есть на сайте ФНС.
2. В день посещения не забудьте взять с собой все необходимые документы и USB-токен, соответствующий требованиям УЦ ФНС.

Подробно о том, как выбрать подразделение ФНС, как заполнить заявление и какой USB-токен необходимо приобрести, читайте в инструкции.

Получить ЭП на руководителя организации или индивидуального предпринимателя можно у доверенного лица УЦ ФНС — Удостоверяющего центра «Основание» (АО «Аналитический центр»). Уточнить адреса, где расположены офисы УЦ, можно на сайте.

Помимо УЦ «Основание» доверенными лицами УЦ ФНС являются:

• ПАО Сбербанк
• Банк ВТБ (ПАО)
• АО «ЕЭТП»
• АО «Тинькофф Банк»
• АО «Электронная Москва»
• ПАО «Промсвязьбанк»

Для получения электронной подписи в ДЛ УЦ ФНС необходим тот же пакет документов, что и для УЦ налоговой. Получить подпись можно только при личном посещении

Подробно о получении сертификата у ДЛ УЦ ФНС читайте в инструкции.

Подать документы на получение ЭП в УЦ Федерального казначейства можно на Портале заявителя ИС УЦ. Прежде чем подать заявку, необходимо настроить автоматизированное рабочее место (АРМ). Инструкция по настройке есть на сайте УЦ ФК.

После настройки рабочего места можно будет перейти на Портал заявителя ИС УЦ.

Подробно о том, кто и как может получить электронную подпись в УЦ ФК, читайте в инструкции.

Как обновить электронную подпись на сотрудника

Физическое лицо может получить электронную подпись только в аккредитованном удостоверяющем центре, который имеет аккредитацию Минцифры. Работник организации — это физическое лицо, а значит, получить подпись уполномоченного должностного лица он может получить только там.

Подробно о том, как получить электронную подпись на сотрудников, мы рассказали в статье «Электронная подпись уполномоченного лица» .

АУЦ могут выпускать как квалифицированные, так и неквалифицированные электронные подписи. Всё зависит от нужд компании и обязанностей уполномоченного работника.

Если уполномоченный работник или доверенное лицо обязано сдавать отчётность в контролирующие органы, ему понадобится квалифицированная электронная подпись и машиночитаемая доверенность (МЧД).

Когда уполномоченный сотрудник занимается кадровыми или внутренними документами, ему будет достаточно неквалифицированной ЭЦП. С ней можно вести обмен документами с партнёрами, подписывать приказы, инструкции, заявления или справки

Инструкцию по отправке МЧД в ФНС читайте здесь, а в СФР — здесь . Кроме того, если отчётность в СФР будет подписывать своей подписью и сдавать уполномоченный сотрудник, руководитель должен предварительно отправить в СФР уведомление о предоставлении полномочий представителю (УПУП). О том, как это сделать, читайте в инструкции.

Как обновить подпись в сервисе «1С-Отчётность»

Сертификат сервиса «1С-Отчётность»

Пользователям сервиса «1С-Отчётность» доступно безбумажное продление сертификата электронной подписи, с которым они работают в сервисе.

Безбумажное продление возможно только для сертификатов, выданных УЦ АО «Калуга Астрал» по доверенности на сотрудников или физических лиц.

Это возможно, если выполняются следующие условия:

• заканчивающийся сертификат сервиса «1С-Отчётность» действителен на момент отправки и (желательно) одобрения статуса заявления;
• заканчивающийся и новый сертификат оформлены на законного представителя организации;
• в заканчивающемся сертификате и в запросе на новый сертификат нет расхождений в реквизитах.

Подать запрос на выпуск нового сертификата, если срок действия старого уже истёк, можно. Для этого придётся распечатать форму запроса, подписать её от руки и отправить скан подписанного документа.

Подробно о том, как сформировать и заполнить запрос на выпуск нового сертификата, читайте в инструкции.

Сертификат стороннего УЦ

Работать в сервисе «1С-Отчётность» можно не только с сертификатом УЦ АО «Калуга Астрал», но и с сертификатами некоторых других УЦ. При истечении срока действия сертификата также можно перевыпустить его, подав заявку через «1С-Отчётность». Список УЦ, чьи сертификаты можно использовать для работы в сервисе, и инструкцию по перевыпуску сертификатов вы можете найти в инструкции.

Источник: dzen.ru

Можно ли использовать старый токен для ЭЦП

Удостоверяющий центр, выпустивший сертификат, не хранит пароли электронной подписи и токенов. В этом случае необходимо будет перевыпустить сертификат электронной подписи. Использование старого токена, возможно в случае успешного форматирования носителя.

Да, можете. Налоговая не требует документов, подтверждающих что токен принадлежит вашей действующей фирме.

• Удостоверяющий центр не хранит пароли электронной подписи и токенов
• Сертификат электронной подписи необходимо перевыпустить при неудачном форматировании носителя
• Старый токен можно использовать при успешном форматировании носителя
• Налоговая не требует документов, подтверждающих принадлежность токена действующей фирме
• Токены, сертифицированные ФСТЭК или ФСБ, могут быть использованы до 3 лет после покупки
• Носители электронной подписи: Рутокен, E-токен, JaCarta LT, Esmart USB, ключевой носитель R301 Форос, JaCarta-2 SE
• Электронную подпись можно записать на токен повторно при перевыпуске
• Токены, подходящие для ЭЦП ФНС: Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ
• CSRF токен недействителен или отсутствует — браузер не может создать защищенные файлы куки или получить к ним доступ для авторизации входа в учетную запись
• ЭЦП, выданные на ИП и руководителей ЮЛ, будут действительны до максимального срока 31.03.2023, на сотрудников с указанием ИНН ЮЛ — до 31.08.2023 года
• Токен нельзя использовать как флешку из-за ограниченного количества памяти
• Основная задача токена — защита информации, в отличие от флешки, которая предназначена для хранения данных
• На все токены устанавливается восьмизначный пароль для защиты информации.

1. Можно ли использовать старый токен
2. Какие токены подходят для ЭЦП
3. Можно ли использовать токен повторно
4. Какие токены подходят для ЭЦП ФНС
5. Что такое токен не действителен
6. Что будет с ЭЦП в 2023 году
7. Можно ли использовать токен как флешку
8. Чем отличается токен от обычной флешки
9. Какой носитель нужен для ЭЦП
10. Как очистить старый токен
11. Что такое токен истек
12. Можно ли на Рутокен записать несколько ЭЦП
13. Нужно ли покупать Криптопро для налоговой
14. Чем отличается токен от Рутокена
15. Можно ли вернуть Рутокен
16. Можно ли очистить токен
17. Сколько стоит один токен
18. Чем опасна простая электронная подпись
19. Можно ли отформатировать токен
20. В чем разница между токеном и монетой

Можно ли использовать старый токен

Как правило с токеном Вам должны были дать сертификат соответствия ФСТЭК (пассивный режим) или ФСБ (активный режим). Вывод — практически все токены были когда-то сертифицированы. Сертификат обычно действуют на срок до 3 лет, но может продляться. Другими словами, примерно 3 года после покупки точно сможете использовать.

Какие токены подходят для ЭЦП

Можно ли использовать токен повторно

Можно ли записывать электронную подпись на токен повторно при перевыпуске? Александр Шкрабов, Тула. — Да, это возможно.

Какие токены подходят для ЭЦП ФНС

УЦ ФНС России поддерживает ключевые носители формата USB Тип-А (например, Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ и т. п.).

Что такое токен не действителен

CSRF токен недействителен или отсутствует

Это сообщение означает, что вашему браузеру не удалось создать защищённые файлы куки или получить к ним доступ, чтобы авторизовать вход в вашу учетную запись.

Что будет с ЭЦП в 2023 году

ЭЦП, выданные в аккредитованном коммерческом удостоверяющем центре на ИП и руководителей ЮЛ, будут действовать до конца своего срока — максимальный срок 31.03.2023. ЭЦП, выданные на сотрудников с указанием ИНН ЮЛ, будут действовать до окончания их срока, но не позднее 31.08.2023 года.

Можно ли использовать токен как флешку

Использовать Рутокен и любой другой токен в качестве флешки не получится из-за ограниченного количества памяти, которой хватит только на электронные подписи.

Чем отличается токен от обычной флешки

Флешки можно подключать к компьютеру, ноутбуку или другому устройству через USB-порт. Токен — это тоже устройство для хранения данных, но в отличие от флешки основная задача токена не хранение, а защита информации. Для этого изготовитель устанавливает на все токены восьмизначный пароль.

Какой носитель нужен для ЭЦП

Электронная подпись (ЭЦП), по 63-ФЗ об электронной подписи, может выдаваться исключительно на ключевых носителях (токенах), которые сертифицированы ФСТЭК и ФСБ России. Сами токены бывают двух видов: USB-токен Смарт-карта

Как очистить старый токен

Выполните следующие действия:

• Запустите приложение «Инструментами КриптоПро» и перейдите в раздел «Сертификаты».
• Выберите нужный сертификат и нажмите кнопку «Удалить сертификат».
• Нажмите «Да», когда выскочит предупреждение.

Что такое токен истек

«Истек срок действия токена» или «CSRF-значение недопустимо»: что это значит и что делать Обычно ошибка возникает по двум основным причинам: сервер некорректно сгенерировал токен; срок токена истек — пользователь долго не совершал никаких действий на странице.

Можно ли на Рутокен записать несколько ЭЦП

Можно ли на Рутокен записать несколько ключей? Как на Рутокен, так и на JaCarta можно записать несколько электронных подписей.

Нужно ли покупать Криптопро для налоговой

Саму КЭП налоговая выпускает бесплатно. Но для ее использования понадобится купить токен и лицензию на программу «КриптоПро CSP». Если у предпринимателя или компании уже есть токен или действующая лицензия, заменять их не нужно. Лицензию нужно покупать на каждое устройство, где планируете подписывать документы.

Чем отличается токен от Рутокена

Рутокен — это вид ключевого носителя (токена). Он хранит электронную подпись и цифровой сертификат. В отличие от флешки, на токенах данные защищены паролем и дополнительными средствами безопасности. Рутокены имеют сертификацию ФСТЭК/ФСБ, что соответствует требованиям 63-ФЗ.

Можно ли вернуть Рутокен

Общие правила ФСБ РФ к использованию электронной подписи в Российской Федерации: Возврат, обмен, восстановление электронной подписи невозможны.

Можно ли очистить токен

Чтобы освободить место для новой подписи, очистите память токена: Вставьте носитель в USB-порт компьютера. Перейдите в список контейнеров на носителе: в письме нажмите «Очистить носитель» или запустите генерацию ЭП. Выберите подпись, которую намерены стереть, и нажмите «Сведения о сертификате».

Сколько стоит один токен

Сегодня текущая цена One Token составляет ₽ 0.5846593 за (ONE/RUB) при текущей рыночной капитализации RUB — ₽ 0. Объем торгов за 24 часа: ₽ 0 RUB.

Чем опасна простая электронная подпись

Саму электронную подпись подделать нельзя: в её основе лежат криптографические алгоритмы, не поддающиеся взлому. Однако мошенники могут её украсть или подделать документы для незаконного получения. Схем, как завладеть электронной подписью, не так уж много.

Можно ли отформатировать токен

Нажмите Инициализировать eToken или выделите eToken правой клавишей мыши и выберите из выпадающего списка пункт Инициализировать. 6. В открывшемся окне укажите Пароль пользователя и Пароль администратора. Также необходимо снять чекбокс При первом входе необходимо изменить пароль.

В чем разница между токеном и монетой

В отличие от монет, токены не имеют своего блокчейна. Вместо этого они работают в сетях других криптовалют. Наиболее популярными токенами являются стейблкоины. Если транзакциями с криптой занимается блокчейн, то токены полагаются на смарт-контракты.

• Как узнать подходит ли токен для ЭЦП
• Какие токены подходят для ЭЦП
• Какие токены подходят для ЭЦП Фнс
• Какие токены подходят для кэп
• Можно ли использовать Рутокен несколько раз
• Можно ли использовать старый токен
• Можно ли использовать токен несколько раз
• Можно ли скопировать ЭЦП с токена
• Можно ли форматировать токен

27.03.2023 Можно ли использовать старый токен для ЭЦП

Использование старого токена для ЭЦП может быть возможно только при условии успешного форматирования носителя. Удостоверяющий центр, выпустивший сертификат, не хранит пароли электронной подписи и токенов, поэтому в случае утери или повреждения токена необходимо перевыпустить сертификат.

В России существуют несколько наименований токенов, которые сертифицированы для использования в качестве носителей ЭЦП. Среди них Рутокен, E-токен, JaCarta LT, Esmart USB, ключевой носитель R301 Форос, JaCarta-2 SE. Для использования в ФНС России поддерживаются ключевые носители формата USB Тип-А, такие как Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ и др.

При перевыпуске сертификата возможно записать электронную подпись на токен повторно. Однако использование токена в качестве флешки невозможно из-за ограниченного количества памяти, которой хватит только на электронные подписи.

Отличие токена от обычной флешки заключается в том, что основная задача токена — защита информации, а не хранение. Для этого на все токены устанавливается восьмизначный пароль.

Важно отметить, что ЭЦП, выданные в аккредитованном коммерческом удостоверяющем центре на ИП и руководителей ЮЛ, будут действовать до конца своего срока — до 31.03.2023. А ЭЦП, выданные на сотрудников с указанием ИНН ЮЛ, будут действовать до окончания их срока, но не позднее 31.08.2023 года.

Таким образом, использование старого токена для ЭЦП возможно после форматирования носителя. На рынке представлено несколько сертифицированных токенов для использования в качестве носителей ЭЦП, которые поддерживаются в различных учреждениях. Важно помнить, что срок действия ЭЦП ограничен и необходимо перевыпускать сертификаты.

• Что можно посылать по почте в Испанию
• Какие данные нужны для оформления доставки

Источник: svyazin.ru

Почему срок действия токенов истекает?

Я только начинаю работать с Google API и OAuth2. Когда клиент авторизует мое приложение, мне выдают «токен обновления» и недолговечный «токен доступа». Теперь каждый раз, когда срок действия токена доступа истекает, я могу отправить свой токен обновления в Google, и они предоставят мне новый токен доступа.

У меня вопрос, какова цель истечения срока действия токена доступа? Почему вместо маркера обновления не может быть только длительного маркера доступа?

Кроме того, срок действия маркера обновления истекает?

См. Использование OAuth 2.0 для доступа к API Google для получения дополнительной информации о рабочем процессе Google OAuth2.

Это очень сильно зависит от реализации, но общая идея заключается в том, чтобы позволить провайдерам выдавать токены краткосрочного доступа с токенами долгосрочного обновления. Зачем?

• Многие провайдеры поддерживают токены на предъявителя, которые очень слабы с точки зрения безопасности. Делая их недолговечными и требующими обновления, они ограничивают время, в течение которого злоумышленник может использовать украденный токен.
• При крупномасштабном развертывании не требуется выполнять поиск в базе данных при каждом вызове API, поэтому вместо этого они выдают самокодированный токен доступа, который можно проверить путем расшифровки. Однако это также означает, что нет возможности отозвать эти токены, поэтому они выдаются на короткое время и должны быть обновлены.
• Токен обновления требует проверки подлинности клиента, что делает его сильнее. В отличие от вышеупомянутых токенов доступа, он обычно реализуется с помощью поиска в базе данных.

Два вопроса: 1) В случае с мобильными приложениями требование к аутентификации клиента делает его сильнее? Поскольку client_secret является частью исходного кода приложения, то это вовсе не секрет. Если предположить, что маркер доступа также используется только по протоколу TLS (и ваш первый пункт не применяется), есть ли дополнительная безопасность? 2) Предполагая, что все это имеет место в нашем сценарии (только TLS, без самокодируемых невозвратных токенов), можно ли выдавать токены доступа, срок действия которых не истек?

Что такое токен на предъявителя и какое отношение он имеет к токенам обновления и доступа?

Как недопустим токен доступа (на предъявителя?)? Если я сделаю запрос с токеном носителя с истекшим сроком действия, токен обновления вернет свежий токен носителя. Аналогичным образом, если я украду чей-то токен из их файлов cookie и подделаю свой собственный файл cookie с этим маркером, я отправлю его на сервер, он обновится и отправит мне новый. Что остановить это? Не говорите IP-адрес или даже MAC, потому что это неразумно.

Несколько сценариев могут помочь проиллюстрировать цель доступа и обновления токенов и технические компромиссы при разработке системы oauth2 (или любой другой аутентификации):

Сценарий веб-приложения

В сценарии веб-приложения у вас есть несколько вариантов:

1. если у вас есть собственное управление сеансом, сохраните и access_token, и refresh_token для идентификатора сеанса в состоянии сеанса в службе состояний сеанса. Когда пользователь запрашивает страницу, требующую доступа к ресурсу, используйте access_token, а если срок доступа access_token истек, используйте refresh_token, чтобы получить новый.

Давайте представим, что кому-то удается угнать ваш сеанс. Единственное, что возможно — это запросить ваши страницы.

1. если у вас нет управления сессиями, поместите access_token в cookie и используйте его как сессию. Затем, когда пользователь запрашивает страницы с вашего веб-сервера, отправьте access_token. Ваш сервер приложений может обновить access_token, если это будет необходимо.

Сравнивая 1 и 2:

В 1 access_token и refresh_token путешествуют только по проводам между сервером авторизации (в вашем случае Google) и сервером приложений. Это будет сделано по безопасному каналу. Хакер может захватить сеанс, но он сможет взаимодействовать только с вашим веб-приложением. Во 2 хакер может убрать access_token и сформировать свои собственные запросы к ресурсам, к которым пользователь предоставил доступ. Даже если хакер завладеет access_token, у него будет только короткое окно, в котором он сможет получить доступ к ресурсам.

В любом случае, refresh_token и clientid / secret известны только серверу, поэтому веб-браузер не может получить долгосрочный доступ.

Давайте представим, что вы реализуете oauth2 и установили длинный тайм-аут на токене доступа:

В 1) нет большой разницы между токеном короткого и длинного доступа, так как он скрыт на сервере приложений. Во-вторых, кто-то может получить access_token в браузере, а затем использовать его для прямого доступа к ресурсам пользователя в течение длительного времени.

Мобильный сценарий

На мобильном телефоне есть несколько известных мне сценариев:

1. Сохраните клиентские данные / секретные данные на устройстве и организуйте доступ к ресурсам пользователя.
2. Используйте бэкэнд-сервер приложений, чтобы держать клиент / секрет и заставить его выполнять оркестровку. Используйте access_token как своего рода сеансовый ключ и передайте его между клиентом и сервером приложений.

Сравнивая 1 и 2

В 1) Когда у вас есть клиент / секрет на устройстве, они больше не являются секретом. Любой может декомпилировать, а затем начать действовать так, как будто это вы, с разрешения пользователя, конечно.

Access_token и refresh_token также находятся в памяти и могут быть доступны на скомпрометированном устройстве, что означает, что кто-то может выступать в качестве вашего приложения, не предоставляя пользователю свои учетные данные. В этом сценарии длина access_token не влияет на возможность взлома, так как refresh_token находится в том же месте, что и access_token. В 2) клиент / секрет или токен обновления скомпрометированы. Здесь длина срока действия access_token определяет, как долго хакер сможет получить доступ к ресурсам пользователей, если они получат его.

Длина истечения

Здесь все зависит от того, что вы защищаете своей системой аутентификации, и от того, как долго должен истекать срок действия вашего access_token. Если это что-то особенно ценное для пользователя, оно должно быть коротким. Что-то менее ценное, это может быть дольше.

Некоторые люди, такие как Google, не имеют срока действия refresh_token. Некоторым нравится стекопоток. Решение об истечении срока действия является компромиссом между простотой и безопасностью пользователя. Длина маркера обновления связана с длиной возврата пользователя, т. Е. Установите для обновления частоту, с которой пользователь возвращается в ваше приложение.

Если токен обновления не истекает, единственный способ, которым они отозваны, — с явным отзывом. Обычно вход в систему не отменяется.

Надеюсь, что довольно длинный пост будет полезен.

о МОБИЛЬНОМ СЦЕНАРИИ не имеет значения, если вы храните идентификатор клиента на вашем сервере. так что любое другое приложение просто может отправить запрос на ваш сервер и может получить доступ к ресурсам пользователей через ваш сервер, так что его тоже самое

правда, но тогда они имеют доступ только к предоставляемым вами средствам, а не к полному доступу к базовому токену. Т.е. они могут выдавать себя за ваше приложение. Зачастую токены могут иметь широкие разрешения, тогда как вам требуется только подмножество. Удержание токена в бэкэнде дает дополнительные ограничения, если вам это нужно.

В дополнение к другим ответам:

После получения токены доступа обычно отправляются вместе с каждым запросом от клиентов на защищенные серверы ресурсов. Это создает риск кражи и воспроизведения токенов доступа (при условии, конечно, что токены доступа имеют тип «Носитель» (как определено в первоначальном RFC6750).

Примеры таких рисков в реальной жизни:

• Серверы ресурсов, как правило, являются распределенными серверами приложений и, как правило, имеют более низкий уровень безопасности по сравнению с серверами авторизации (более низкая конфигурация SSL / TLS, меньшая степень защиты и т. Д.). Серверы авторизации, с другой стороны, обычно считаются критически важной инфраструктурой безопасности и подвергаются более серьезной защите.
• Токены доступа могут отображаться в следах HTTP, журналах и т. Д., Которые законно собраны для диагностических целей на серверах ресурсов или клиентах. Эти следы можно обменять в общественных или полуобщественных местах (средства отслеживания ошибок, служба поддержки и т. Д.).
• Приложения Backend RS могут быть переданы сторонним организациям, более или менее заслуживающим доверия.

Токен обновления, с другой стороны, обычно передается только дважды по проводам, и всегда между клиентом и сервером авторизации: один раз при получении клиентом и один раз при использовании клиентом во время обновления (фактически «истекает» предыдущее обновление). маркер). Это резко ограниченная возможность перехвата и воспроизведения.

Последняя мысль: токены обновления предлагают очень мало защиты, если таковые вообще имеются, от скомпрометированных клиентов.

Вы несколько затронули этот вопрос, но я хотел бы подчеркнуть, что большая поверхность атаки для получения (или, наоборот, непреднамеренного разглашения) токенов находится в журналах приложений или в случайно добавленных ресурсных службах (сегодня это не атака MITM). Почти везде в общем API-интерфейсе есть доступ к используемому токену доступа (если он имеет доступ к объекту HttpRequest и т. Д.). Только два пути кода в системе имеют доступ к токену обновления — тот, который генерирует его в первую очередь, и тот, который обменивает его на новый токен доступа. Это существенная разница в поверхности атаки.

По сути, это мера безопасности. Если ваше приложение скомпрометировано, злоумышленник будет иметь доступ только к недолговечному токену доступа и не сможет сгенерировать новый.

Срок действия токенов обновления также истекает, но они должны жить намного дольше, чем токен доступа.

Но разве у злоумышленника также не будет доступа к токену обновления? а можно чем то использовать для создания нового токена доступа?

Таким образом, он обеспечивает некоторую защиту от перехвата пакетов, если перехват только перехватывает обычные запросы данных (Чак получает только маркер доступа)? Это звучит немного слабым; черной шляпе просто нужно немного подождать, пока пользователь не запросит новый токен доступа, а затем он получит идентификатор клиента, секретный ключ и токен обновления.

Это может привести к тому, что меня задержат, но если это будет отправлено через SSL, это не добавит еще один возможный уровень безопасности. Я предполагаю, что все знают, что такое SSL.

Источник: qastack.ru