Блин это долго расписывать, ну суть такая, когда пользователь авторизуется то его refresh token вместе с отпечатком браузера заносятся в бд, для контроля токенов от взломов и тд, плюс для системы разлогина, когда пользователь выходит просто удаляется refresh token из бд, если человек зайдет с другого устройства то система посмотрит есть ли его refresh. в бд и если да то проверит отпечаток если другой то прошлый не удалит а добавит новый что позволит не разлогинить его на старом устройстве, ну и так далее, проблема в том что отпечаток не стальная штука, пользователь меняет малейшую настроку в браузере и он уже выдает другой id

стальино держит где то дня 4-5 потом уже выебуривает (не часто но бывают казусы)

нужно более стабильное решение чем отпечаток

какой ещё фингерпринтинг, когда клиент сам решает что посылать

зачем это всё?

как он сам решает ? fingerprint генерится автоматом и отправляется вместе с запросом на вторизацию

клинет не чего не решает

это если клиент юзает твою либу отправки запросов

что в случае RST Api вообще не естественно

ну фронт то мой (это сайт)

ты кроче суть не понял

я не понял зачем все эти флуктуации

у тебя есть модель угроз?

> если человек зайдет с другого устройства то система посмотрит есть ли его refresh

эм... ты используешь один и тот же refresh token между устройствами?

если человек логинится заново - он получает новый рефрештокен обычно

да, но старый то будет работать

а так с перелогином он сразу деактивируется

Зачем?

что бы злоумышлени не использовал его пока токен живой

Ну удаляй/деактивируй просто все рефрештокены и ладно