IG
Да, это gut feeling, который я считаю правильным
Size: a a a
2019 October 01
IG
Я согласен с тем фактом, что 2 токена это сложная тема и для обычных сайтов ее лучше не далать.
AC
Да вообщем правильно Макс сказал - главная идея в том чтобы не ходить каждый раз в auth сервер
MG
Забавно, как тридцатилетней давности Kerberos опять появился в вебе в виде OAuth.
MG
Только с ассимметричным крипто.
AB
Но кроме gut feeling "стрёмности" нет чёткого описания атакующих и атак? Ну ок.
По-хорошему, в несекьюрном окружении должен присутствовать только аксесс-токен, типа рефреш лежит на бэке, а на фронтах только аксесс, но что-то у меня не получается дальше это додумать
MG
В Kerberos были такие же долгоживущий Ticket-Granting Ticket и обычный Ticket, легко протухающий.
AC
По-хорошему, в несекьюрном окружении должен присутствовать только аксесс-токен, типа рефреш лежит на бэке, а на фронтах только аксесс, но что-то у меня не получается дальше это додумать
Не там смысл в том чтобы клиент мог сам себе сессию обновить, при этом не храня креды
AB
Не там смысл в том чтобы клиент мог сам себе сессию обновить, при этом не храня креды
В этом никакого смысла не ощущается, к сожалению. Пока рефреш с аксессом хранятся вместе, никакого отличия от одного долгоиграющего токена нет
AC
В этом никакого смысла не ощущается, к сожалению. Пока рефреш с аксессом хранятся вместе, никакого отличия от одного долгоиграющего токена нет
Еще раз: Макс правильно сказал - есть, если это third party. Т.е. ты авторизуешься через гугол. Таким образом access ты потом можешь отдавать приложению, в котором авторизовался, а refresh ты хранишь у себя и про него никто не знает.
MG
Т.е. это не фича для безопасности, а фича для производительности - не нагружаешь гугловый сервис постоянной долбёжкой к нему.
AC
Т.е. это не фича для безопасности, а фича для производительности - не нагружаешь гугловый сервис постоянной долбёжкой к нему.
Да, и при этом имеешь секьюрный токен, который ты контролируешь (до определенной степени)
A
Просто перед посылкой проверяем в каком состоянии токен сейчас - если его нет - говорим что надо залогиниться и не шлем ничего. Если рефреш в процессе - ретрай через ну не знаю 2 секунды, если токен стух - послать рефреш
Но ведь в браузере есть табы. В двух разных табах одновременно может посылаться по запросу на рефреш. Или например второй случай пользователь может открыть табу, уйдёт запрос на рефреш, но раньше чем придёт ответ пользователь может закрыть табу.
Можно с этими случаями что-то сделать, или мы говорим о том что приведённого тобой способа достаточно?
Можно с этими случаями что-то сделать, или мы говорим о том что приведённого тобой способа достаточно?
AR
тут довольно много написали что с этим можно сделать )
A
Честно говоря вариантов кроме “Послать юзернейм/пароль, получить непротухающую куку” как мне кажется пока не было)
AR
так и чем не нравится вариант то?
AR
строчек кода мало?
AC
Но ведь в браузере есть табы. В двух разных табах одновременно может посылаться по запросу на рефреш. Или например второй случай пользователь может открыть табу, уйдёт запрос на рефреш, но раньше чем придёт ответ пользователь может закрыть табу.
Можно с этими случаями что-то сделать, или мы говорим о том что приведённого тобой способа достаточно?
Можно с этими случаями что-то сделать, или мы говорим о том что приведённого тобой способа достаточно?
Несколько рефреш для пользователя разрешено
MP
Честно говоря вариантов кроме “Послать юзернейм/пароль, получить непротухающую куку” как мне кажется пока не было)
Кука не обязательно непротухающая, скорее ее применение контролируется сервером. И если у вас там одна точка и сервисы внутри периметра, то можно дальше ничего не изобретать.
AC
Но ведь в браузере есть табы. В двух разных табах одновременно может посылаться по запросу на рефреш. Или например второй случай пользователь может открыть табу, уйдёт запрос на рефреш, но раньше чем придёт ответ пользователь может закрыть табу.
Можно с этими случаями что-то сделать, или мы говорим о том что приведённого тобой способа достаточно?
Можно с этими случаями что-то сделать, или мы говорим о том что приведённого тобой способа достаточно?
Ну или в shares storage их хранить