@jeruthadam
Я крут

Как безопасно использовать refresh token?

Сценарий когда хакер угоняет рефреш токен.

Различные туториалы рассказывают как это не страшно, потому что когда настоящий юзер попробует его заюзать, то он якобы станет невалиден. Но ведь хакер после его использования успеет получить новую пару акцес+рефреш токенов! Получается у хакера останется бесконечно переуспользуемая цепочка (типо, воторого логина), и у юзера будут паралельно своя новая пара, когда его кинет на перелогин.

Да, я могу хранить только 1 рефреш токен для 1 юзера, но это бред - если юзер захочет на 2 ПК залогинится? Поэтому этот вариант не катит. Как тогда защищатся и почему это никого не беспокоит?
  • Вопрос задан
  • 180 просмотров
Пригласить эксперта
Ответы на вопрос 1
inoise
@inoise
Solution Architect, AWS Certified, Serverless
Все системы, которые есть на рынке, имеют систему инвалидации как access token, так и refresh token. Это может сделать как администратор Identity Server так и сам пользователь. Что касается защиты от угона так тут те же самые рекомендации как и у всего остального
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы