W
а ну-ка гуру, расскажи детям как работает
Не считаю себя гуру, и уже пару раз рассказал
Size: a a a
2019 November 13
W
И даже видео кинул
С
злоумышленник украл рефреш токен
Кстати да, если злоумышленник восстановит через рефреш, то получит новый рефреш и токен
В таком случае, когда пользователь заново залогинится, он просто получит нвую пару, а пара злоумышленника никуда не денется
В таком случае, когда пользователь заново залогинится, он просто получит нвую пару, а пара злоумышленника никуда не денется
EB
мне лень читать и видео смотреть, я тут рефреш токены твои ворую
С
мне лень читать и видео смотреть, я тут рефреш токены твои ворую
ахахаха
PS
Поскольку его не в той же самой БД
при каждой авторизации оттуда удаляются все рефреш токены пользователя?
если нет, то значит там остался украденный токен.
если да, то значит пользователям придется постоянно авторизовываться
если нет, то значит там остался украденный токен.
если да, то значит пользователям придется постоянно авторизовываться
W
Кстати да, если злоумышленник восстановит через рефреш, то получит новый рефреш и токен
В таком случае, когда пользователь заново залогинится, он просто получит нвую пару, а пара злоумышленника никуда не денется
В таком случае, когда пользователь заново залогинится, он просто получит нвую пару, а пара злоумышленника никуда не денется
В таком случае, можно просто удалять все токены которые связаны с пользователем
W
И выдавать абсолютно новый
EB
а откуда ты поймешь, что это хацкер, а не сам юзер?
EB
ну то есть каков критерий скомпрометированного токена
С
В таком случае, можно просто удалять все токены которые связаны с пользователем
И мы приходми к тому что со всех устройств проподает авторизация
И
ну то есть каков критерий скомпрометированного токена
фингерпринт, айпи и всё такое
W
а откуда ты поймешь, что это хацкер, а не сам юзер?
если рефреш токен не валиден, значит им кто-то воспользовался, значит надо розглонить везде
EB
фингерпринт, айпи и всё такое
зашол с впн, замокал браузерные данные, фингерпринт и айпишник сменились, но это снова я
EB
если рефреш токен не валиден, значит им кто-то воспользовался, значит надо розглонить везде
но ведь это мог быть я, сначала с компа, а потом с телефона (там разные пары токенов очевидно лежали)
Ð
а куда девается акцес токен?
EB
спиздили вместе с рефрешем
PS
Ð
а куда девается акцес токен?
у него малый срок жизни (15-30 минут)
💢
но ведь это мог быть я, сначала с компа, а потом с телефона (там разные пары токенов очевидно лежали)
WebSocket TestПацаны, не пойму как подрубиться к вебсокету, пишет такую шляпу, подскажите плиз
CONNECTED
SENT: ne
RESPONSE: {"type":"irc","message":":site.com NOTICE Auth :*** Looking up your hostname...\r\n:site.com NOTICE 498AC68ZI :*** Skipping host resolution (disabled by server administrator)\r\n"}
DISCONNECTED
EB
WebSocket TestПацаны, не пойму как подрубиться к вебсокету, пишет такую шляпу, подскажите плиз
CONNECTED
SENT: ne
RESPONSE: {"type":"irc","message":":site.com NOTICE Auth :*** Looking up your hostname...\r\n:site.com NOTICE 498AC68ZI :*** Skipping host resolution (disabled by server administrator)\r\n"}
DISCONNECTED
а я тут при чем?