NK
А, так вот оно что. Стой, подожи, а если сервер из соображений безопасности удалит вообще все токены?
авторизоввываешься руками
Size: a a a
2017 November 28
OB
И пароль
λ
Ну и в чем разница тогда
λ
2 токена юзать
λ
Или 1
λ
Мб тогда сразу 3 заюзать
λ
Почему нет
NK
Ну и в чем разница тогда
разниуа в том что ты не хранишь в приложении логин и пароль
OB
У тебя приложение будет само обновлять треке
OB
Токен
OB
А не выкидывать каждый раз тебя на страницу авторизации
NK
Ну и в чем разница тогда
а токен может протухнуть, а может и сервер убить
OB
Рефркш токен все обновит
λ
ID:227931536
а токен может протухнуть, а может и сервер убить
Так и другой токен тоже может. Или не может?
OB
Так и другой токен тоже может. Или не может?
Может
OB
Но обычно у него срок месяц
OB
Если месяц не заходил или удалил из кеша его то авторизуйся руками через пароль
λ
Случай 1: Боб узнал оба токена Алисы и не воспользовался refresh
В этом случае Боб получит доступ к сервису на время жизни access token. Как только оно истечет и приложение, которым пользуется Алиса, воспользуется refresh token, сервер вернет новую пару токенов, а те, что узнал Боб, превратятся в тыкву.
Случай 2: Боб узнал оба токена Алисы и воспользовался refresh
В этом случае оба токена Алисы превращаются в тыкву, приложение предлагает ей авторизоваться логином и паролем, сервер возвращает новую пару токенов, а те, что узнал Боб, снова превратятся в тыкву (тут есть нюанс с device id, может вернуть ту же пару что и у Боба. В таком случае следующее использование refresh токена превратит токены Боба в то, что изображено справа).
Таким образом, схема refresh + access токен ограничивает время, на которое атакующий может получить доступ к сервису. По сравнению с одним токеном, которым злоумышленник может пользоваться неделями и никто об этом не узнает.
В этом случае Боб получит доступ к сервису на время жизни access token. Как только оно истечет и приложение, которым пользуется Алиса, воспользуется refresh token, сервер вернет новую пару токенов, а те, что узнал Боб, превратятся в тыкву.
Случай 2: Боб узнал оба токена Алисы и воспользовался refresh
В этом случае оба токена Алисы превращаются в тыкву, приложение предлагает ей авторизоваться логином и паролем, сервер возвращает новую пару токенов, а те, что узнал Боб, снова превратятся в тыкву (тут есть нюанс с device id, может вернуть ту же пару что и у Боба. В таком случае следующее использование refresh токена превратит токены Боба в то, что изображено справа).
Таким образом, схема refresh + access токен ограничивает время, на которое атакующий может получить доступ к сервису. По сравнению с одним токеном, которым злоумышленник может пользоваться неделями и никто об этом не узнает.
OB
А так в связке рефреш и акцесс само обновляется
OB
Ну как-то так