PS
А другие он не получит, т.к. они по другому запросу и на другое устройство прилетели
я вот что не могу понять. с какой стати украденный рефреш токен перестанет быть валидным?
Size: a a a
2019 November 13
W
я вот что не могу понять. с какой стати украденный рефреш токен перестанет быть валидным?
https://www.youtube.com/watch?v=vQldMjSJ6-w
Смотреть с 13:30
Смотреть с 13:30
EB
допустим пользователь открыл сайт на чужом компе. как ему из дома закрыть ту сессию при использовании jwt?
рефреш токен-то остается на чужом компе
рефреш токен-то остается на чужом компе
да что уж, погроммисты и с сессиями не особо заморачиваются делать session revoke flow.
W
Смотри, у тебя допустим угнали рефреш токен, хакер идёт на urk который выдаёт новую пару токенов
W
И кажется, буд-то он может делать это безконечно
С
И кажется, буд-то он может делать это безконечно
Ну да
W
Но, когда чесный юзер отправит свой рефреш токен, который почему-то стал не валиден(из-за того что хакер его использовал) ему прийдёться залогиниться, т.к. его по-сути выкинет, и он получит новую пару токенов
W
И тогда рефреш токен хакера станет не валидным
С
Но, когда чесный юзер отправит свой рефреш токен, который почему-то стал не валиден(из-за того что хакер его использовал) ему прийдёться залогиниться, т.к. его по-сути выкинет, и он получит новую пару токенов
А если я хочу что бы пользователи могли сидеть сразуже с нескольких устройств?
С
Но, когда чесный юзер отправит свой рефреш токен, который почему-то стал не валиден(из-за того что хакер его использовал) ему прийдёться залогиниться, т.к. его по-сути выкинет, и он получит новую пару токенов
По такой логике можно сидеть только с одного
С
По такой логике можно сидеть только с одного
Или я что то путаю
W
По такой логике можно сидеть только с одного
Нет, это так не работает
PS
залогинился дома — выкинуло с рабочего компа.
залогинился на работе — выкинуло с домашнего.
залогинился на работе — выкинуло с домашнего.
W
залогинился дома — выкинуло с рабочего компа.
залогинился на работе — выкинуло с домашнего.
залогинился на работе — выкинуло с домашнего.
Всмысле
С
Нет, это так не работает
А как? Я только что видос пересмотрел
W
ты логинишся с компа тебе выдало уникальный аксес и рефреш токен
W
Рефреш токен у тебя хранится на компе
PS
значит и рефреш токен злоумышленника продолжает работать
W
Ты залогинился с телефона и тебе пришли так же уникальные аксес и рефреш токены