刷新token接口的不安全隐患

跟踪了一下该框架的token刷新机制，发现存在一些漏洞
1. 刷新token ui接口(post /refreshtoken)与后台服务接口(GET /api/v1/refresh_token)没有对应上，当然前端压根就没有刷新token机制，也就是没有实现无感续期token，所以也就从来没发现接口错了。
2. 后端没有区分业务token与续期token，全都使用同个token，业务token是长时间使用，且容易泄露，一旦拿到业务token就可以调用get /api/v1/refresh_token进行永久续期，这是很大的隐患和漏洞。

既然没有打算实现无感刷新，建议把刷新token接口禁止掉。
![image](https://github.com/user-attachments/assets/56ac0e1a-719b-489f-98a6-8eaa7f3e392b)
![image](https://github.com/user-attachments/assets/b23927b0-8aa3-4a78-b079-f9a4301ca1f7)


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

刷新token接口的不安全隐患 #820

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

刷新token接口的不安全隐患 #820

Description

Metadata

Metadata

Assignees

Labels

Type

Projects

Milestone

Relationships

Development

Issue actions