DV
Ребяткиз. Подскажите кто как на клиенте хранит jwt-токены ?
Нормально ли если храню accessToken в локальном хранилище а refreshToken в куках ?
Size: a a a
2021 October 26
2021 October 27
AN
Просто много где читаю что небезопасно вообще токены хранить в локале и куках, и якобы надо все хранить в памяти приложения. Но никто при этом нормально не может объяснить как мне держать сессию на нескольких вкладках если не использовать хранилища.
AP
токены хранят в httponly samesite куках
PM
JWT и пара токенов - какие-то противоположные вещи имхо
AP
если достаточной для аутентификации информации нет в куках то ты можешь забыть об ssr и в целом можешь начать покрывать себя бесполезными костылями
AN
Refresh - для обновления сессии, access для доступа к разным микросервисам
PM
да но причем тут JWT ? он нужен когда сессии вобще нет
PM
и он не может экспайриться
PM
в отличии от accessToken
PM
+1, токены или просто sid, любая уникальная строка
AN
Понял, спасибо
f
А как быть в ситуации, когда access и refresh в куках httponly, человек проснулся, открыл браузер, у него открыто 10 вкладок с сайтом и access истек, все вкладки ломанутся с одним и тем же рефрешем, а он одноразовый и пройдет только 1й запрос
PM
а как 10 вкладок могут разом ломиться?
f
Просто открыл браузер
PM
неактивные влкадки тротлятся если что
PM
ну и в такой схеме не нужны access+refresh
PM
сервер управляет авторизацией
PM
никто никуда не ломится
f
На практике не раз сталкивался, открываю браузер токен там истек, и из 10 вкладок в 9 выкинуло а в одной все ок. А дело в том, что запросы улетают почти одновременно и с одним и тем же рефрешем