@unroot

Какая верная стратегия обновления refresh_token'а для нескольких устройств?

Разбираюсь с JWT, в частности с refresh token'ом. Не получается продумать стратегию обновления refresh token'а на нескольких устройствах. Если хранить в базе данных токен и обновлять его каждый раз по требованию клиента, то на устройствах необходимо будет постоянно проходить процесс аутентификации. С другой стороны, если токен не обновлять, то при его краже или наступлении expires_in он станет невалидным, что повлечёт за собой процесс аутентификации. Подскажите верную стратегию обновления refresh token'a используя JWT для нескольких устройств. Заранее спасибо!
  • Вопрос задан
  • 286 просмотров
Решения вопроса 1
  • TheDeadOne
    @TheDeadOne
    Седой и строгий
    В нагрузке токена хранить идентификатор пользователя и идентификатор устройства. При получении запроса на обновление, проверять токен на валидность, доставать из него идентификаторы, искать в базе запись для этих идентификаторов и сравнивать полученный из базы токен с токеном от пользователя.
    Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы