F
а потом?
Size: a a a
2021 May 23
VK
Вы говорите, что приготовление неправильное - единственная проблема, но как готовить правильно - не говорите😁
F
я же здесь сказал, если в деталях, то мне кажется нужно делать 15 минутный аксес токен, и одноразовый рефреш, если юзер вышел на 15 минут, то когда в следующий раз зайдет - отправим рефреш, который в куки лежит и получим новую пару, а если рефреш окажется не валидным, то разлогиним его
F
ну либо рефреш на полгода, чтобы разлогинило если юзер не заходил долго
F
это уже как захотим
F
но в любом случае рефреш одноразовый
Е
Украли рефреш, по нему получили новую пару, пользователя разлогинило, пользователь понял, что что-то не так, что дальше?
F
пользователь логинится заново, выдается новая пара, и тогда хакера разглогинит
IK
А мультипойнт как чинить?
IK
И главный вопрос - что хранить в токене?
F
что это?
IK
Когда несколько устройств
F
вот с этим я еще не разобрался, я вообще не люблю жвт, просто на работе заставляют использовать
F
ну у нас в токене только роль хранится
IK
а как быть когда у пользователя обновили роль :)
F
прямо на клиенте пользователь взял и обновил роль себе?
F
да, тогда это еще одна проблема
IK
зачем на клиенте
IK
амдин обновил
F
ничего в голову не приходит, походу прийдется разглогинить пользователя чтобы выдать ему новую роль