Мне понравилось в беседе про токены, что все с удовольствием переспорили Ивана, но никому не пришло в голову пойти поискать зачем это сделано. Типичное "российское коммьюнити", зато все разошлись довольные и правые)
Мне понравилось в беседе про токены, что все с удовольствием переспорили Ивана, но никому не пришло в голову пойти поискать зачем это сделано. Типичное "российское коммьюнити", зато все разошлись довольные и правые)
Все таки был такой вопрос и попытка понять мотивацию
Еву ограничивают в количестве времени, когда она может пользоваться украденным токеном. Но этого же можно добиться и без пары access/refresh, выдавая новый токен на каждый запрос.
Еву ограничивают в количестве времени, когда она может пользоваться украденным токеном. Но этого же можно добиться и без пары access/refresh, выдавая новый токен на каждый запрос.
а со старым access token при этом что делать? инвалидировать сразу? но клиент может не получить новый токен и остаться у разбитого корыта.
И я совсем не понимаю как это относится к производительности. В спеке речь идёт о том, что рефреш можно использовать только для получения новых токенов, называя их разными серверами - оттуда люди это определение и хватают.
Доступ к "ресурсному серверу" будет легче если использовать JWT, например. Если используется простой токен, то разница в "производительности" смехотворная, если есть вообще.
Доступ к "ресурсному серверу" будет легче если использовать JWT, например. Если используется простой токен, то разница в "производительности" смехотворная, если есть вообще.
но тогда и нет ограничений на использование украденного токена?
Но идея же в том, чтобы в JWT засунуть всю информацию для авторизации. В стандартном поле exp хранится время истечения, например. Можно добавить скоупы.