@jeruthadam

Как безопасно использовать refresh token?

Сценарий когда хакер угоняет рефреш токен.

Различные туториалы рассказывают как это не страшно, потому что когда настоящий юзер попробует его заюзать, то он якобы станет невалиден. Но ведь хакер после его использования успеет получить новую пару акцес+рефреш токенов! Получается у хакера останется бесконечно переуспользуемая цепочка (типо, воторого логина), и у юзера будут паралельно своя новая пара, когда его кинет на перелогин.

Да, я могу хранить только 1 рефреш токен для 1 юзера, но это бред - если юзер захочет на 2 ПК залогинится? Поэтому этот вариант не катит. Как тогда защищатся и почему это никого не беспокоит?
  • Вопрос задан
  • 100 просмотров
Пригласить эксперта
Ответы на вопрос 1
inoise
@inoise
Solutions Architect, AWS Certified, Serverless
Все системы, которые есть на рынке, имеют систему инвалидации как access token, так и refresh token. Это может сделать как администратор Identity Server так и сам пользователь. Что касается защиты от угона так тут те же самые рекомендации как и у всего остального
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
FinPay Санкт-Петербург
от 60 000 до 70 000 руб.
ГК «Компьютеры и сети» Новосибирск
от 80 000 до 120 000 руб.
21 сент. 2019, в 08:59
35000 руб./за проект
21 сент. 2019, в 00:13
5000 руб./за проект