16.10. 入侵访问并刷新令牌

Red Hat Single Sign-On 包含多个操作，以防止恶意执行者窃取访问令牌并刷新令牌。关键操作是强制红帽单点登录及其客户端和应用程序之间的 SSL/HTTPS 通信。默认情况下，Red Hat Single Sign-On 不会启用 SSL。

缓解泄漏访问令牌的破坏的另一个操作是缩短令牌的寿命。您可以在 超时页面中 指定令牌寿命。访问令牌的短寿命将强制客户端和应用在短时间内刷新其访问令牌。如果管理员检测到泄漏，管理员可以注销所有用户会话以无效这些刷新令牌或设置撤销策略。

确保刷新令牌始终保持与客户端的私有，并且永远不会传输。

您可以将这些令牌作为密钥令牌的拥有者签发，从而缓解泄漏访问令牌的影响，并刷新令牌。如需更多信息，请参阅 OAuth 2.0 Mutual TLS Client Certificate Bound Access Token。

如果访问令牌或刷新令牌被破坏，访问 Admin Console，并将 not- before before revocation 策略推送到所有应用程序。推送非前策略可确保在那个时间失效之前发出的任何令牌。推送新的非前策略可确保应用程序必须从 Red Hat Single Sign-On 下载新的公钥，并缓解来自已被破坏的域签名密钥的破坏。如需更多信息，请参阅 密钥章节。

如果特定应用程序、客户端或用户被破坏，您可以禁用它们。