Здравствуйте!
Вопрос реальный (т.е. вы с такой ситуацией столкнулись) или гипотетический?
Насколько я понимаю процесс авторизации происходит примерно следующим образом:
1. Пользователь вводит логин и пароль - ему выдается токен1
2. Проходит какое-то время токен1 устаревает, и в течении некоторого времени после этого сервер позволяет сделать рефреш, т.е. по токену1 получить токен2, при этом никакие функции кроме рефреша становятся недоступны.
3. Пользователь пользуется токеном2
Если злоумышленник крадет токен1 и делает рефреш - он получает токен2, который использует в нехороших целях. При этом он может делать и дальше рефреши по истечению срока действия токенов.
Но! Реальный пользователь пройдя процедуру авторизации получит токен3, который (если) злоумышленник не знает, а следовательно и не сможет получить рефреш.
Т.е., насколько понимаю я, злоумышленник может пользоваться токеном только до новой авторизации реального пользователя (или до тех пор пока реальный пользователь не сделает рефреш).
Простой
Простой
