...и тут начинаются истории про списки убитых раньше времени токенов, способы их распространения и т.п.

То есть да, ситуация редкая и токенов таких сильно меньше, чем рабочих. Но тем не менее.

Тоже момент интересный - если поставить маленький экспирейшен, то тогда вдруг ниоткуда появляется нагрузка по раздаче аксесс токенов, которой раньше не было.

Мне кажется мода на жвт вообще бестолковая. Причем, люди противопоставляют его с OAuth как будто JWT - это стандарт аутентификации а не подписи сообщений.

тема jwt очень живая в том плане, когда есть куча сторонних сервисов, собственно только там от нее и есть плюсы.

В остальных случаях надо очень-очень внимательно смотреть на условия.

Типичное российское комьюнити это писать о токсичности российского комьюнити (что вообще может быть более токсичным?). В том разговоре многократно звучал вопрос «зачем?», который оригинальный автор успешноигнорировал

ну как же... а поболтать под рюмочку коньячка у камина?
когда за окном снег...

Так я про то же, нормально общались же, а потом прибегает и кричит за токсичность. Но зато какой то аргумент за токены появился, спасибо, подумаем!

Почитал статейку. Конечно это ерунда, чуваки изобретают свой протокол _похожий_ на oauth, подменяют понятия и пытаются обосновать то безумие что они натворили.

Да, печально. Токсичное российское коммьюнити - это локальный мем. Красота в глазах смотрящего, то, что меня обосрали не почитав RFC, где это написано черным по белому - лишнее тому доказательство.

По секрету скажу во второй раз: именно этот протокол, и именно это объяснение описано в спеке.

Про коммьюнити это была шутка, и несколько старожилов ее бы оценили. Но соответствующая реакция не заставила себя ждать.

If a refresh token is compromised and subsequently used by both the attacker and the legitimate client, one of them will present an invalidated refresh token, which will inform the authorization server of the breach.

@strofimov1972 Нет никакой разницы между одним и двумя токенами в этом случае: либо старый отменяется, и тогда есть проблема с тем, что доставка не гарантирована, либо старый не отменяется, и тогда злоумышленик может продолжать им пользоваться.

Чот я пропустил что ли? Кто где тебя обсирал, нужно бороться с буллингом!

У всех разное определение слов в голове, не надо ещё оскорбляться хотя бы на это.

Пытаться использовать oauth протокол для того чего он не предполагался - так себе идея. В частности вот если действительно хочется максимально быстро (и понятно для подьзователя) реагировать на компрометацию токена, то можно разработать протокол ПРОЩЕ и ЛУЧШЕ. Или найти кто уже разработал :)

Ладно, мы тут взлетаем, чао!

Дело в том, что я когда-то давненько тут подшучивал над постом Ивана об агрессивном российском коммьюнити. Мы тут шутили что кто-то недостаточно токсично ответил на вопрос и т.д. С постом я согласен по существу, но не по принципу - мы сравниваем американское коммьюнити с российским. Немецкие же или британские интернеты токсичные американского. То есть, дело не в русскости совершенно. Ну и тут я увидел, что выглядело это со стороны будто несколько человек накинулись на Ивана и "переспоривают" его, ведь в интернете кто-то не прав. Решил пошутить и указать, что да, все так в спеке и написано. В итоге я оказался токсиком который пришел и всех кибербулит)