В таком случае нужно всегда где то хранить рефреши, что бы проверять его валидность

нафига он тогда вообще, получил первый рефреш и сразу можно выкинуть

Очевидно, но с компа и с телефона выдаются уникальные рефреш токены и они же два заносятся в бд

В таком случае нужно всегда где то хранить рефреши, что бы проверять его валидность

Так они и храняться

ну вот сперва я рефрешнул с компа, а потом с телефона. Получается с телефона я хакер?

Они обновляются

мне кажется что это какая-то суррогатная замена двухсторонней ssl

камон, ты рефрешаешь разные токени

а если я упер пару токенов до рефреша?

то есть они валидны, но я хакер

как понять что они скомпрометированы? и инвалидировать их

как происходит авторизация первый раз?

по логину и паролю

что мешает упереть их?

как?

кейлоггер, банально подсмотреть

анальный криптоанализ в конце концов

Ну, 15 минут пройдёт тебе нужно будет рефрешнуть, что получить новые, и паралельно юзер захочет получить новую пару, но тут ему приходит ответ с сервера что ео рефреш токен не валиден и ему прийдёться залогиниться что бы получить новую пару. Если у тебя несколько девайсов можно давать айди логина так сказать, и если хакер упёр токены с компа, то просто удалять все рефреш токены этого юзера, который заходит аторизовался первый раз с компа(к примеру айди 1) и выпустить новый рефреш токен, который будет только у этого юзера

я кажется пропустил тип атаки на токены