AR
кто и как их украдет?
Size: a a a
2019 October 01
AC
И чтобы можно было эту сессию продлить
AR
и как наличие токены для рефреша сессии на клиенте решает ХОТЬ ОДНУ проблему?
AR
и какую именно?
IG
писали же выше: чтобы не передавать креды постоянно, чел делаэт это один раз и получает токен. А чтобы не использовать один и тот же токен постоянно, его надо обновлять
AC
и как наличие токены для рефреша сессии на клиенте решает ХОТЬ ОДНУ проблему?
да не особо. Разница только в том что в случае jwt сессия по сути хранится на клиенте
IG
А чтобы не вводить креды при обновлении, передают токен обнвления
A
писали же выше: чтобы не передавать креды постоянно, чел делаэт это один раз и получает токен. А чтобы не использовать один и тот же токен постоянно, его надо обновлять
поидеи мобильные аппы так работают с авторизацией
MG
У меня только один вопрос: какая атака тут предупреждается?
AR
писали же выше: чтобы не передавать креды постоянно, чел делаэт это один раз и получает токен. А чтобы не использовать один и тот же токен постоянно, его надо обновлять
ЧТО это решает? ПОЧЕМУ нельзя использовать один и тот же токен постоянно, а при его протухании ходить с ДРУГИМ НЕ ПРОТУХАЮЩИМ токеном на сервер опять?
MG
Атака с кражей телефона не покрывается, поскольку в этом случае крадут оба токена.
AR
А чтобы не вводить креды при обновлении, передают токен обнвления
чтобы в ногу себе пострелять его передают
AR
У меня только один вопрос: какая атака тут предупреждается?
экзактли
IG
что-то истерика пошла
AC
Ну смотри
AC
Ты можешь auth токен хранить в открытом виде где хочешь
IG
один и тот же токен это несекьюрно
MG
Так обсуждение, как правильно моделировать эпициклы, только истерику и может вызвать.
AC
А refresh в каком-то safe store
AC
К которому более дорогой доступ