DM
Ровно за тем же - для обнаружения инцидентов
типа креды хранятся в базе и их может опс подсмотреть, а refresh хранится в памяти? не очень понял кейс
Size: a a a
2021 March 11
PD
Пробовать)
В многопоточности этот подход не работает )
SB
Эээ, для каких языков? И я уверен, что нефига там это не предусмотрено (
Ms
сделать jwt с хорошим sla - вопрос уже посерьезней
VA
В многопоточности этот подход не работает )
Вопрос какие риски
Ms
Denis Migulin
типа креды хранятся в базе и их может опс подсмотреть, а refresh хранится в памяти? не очень понял кейс
креды дают постоянный доступ
PD
Denis Migulin
типа креды хранятся в базе и их может опс подсмотреть, а refresh хранится в памяти? не очень понял кейс
Подумай, зачем вообще нужна схема с двумя токенами )
Ms
токен - это просто то что знает сервер и клиент для имперсонации
Ms
в основном все токены short-lived
Ms
и для получения нового надо как раз дать рефреш токен
DM
Подумай, зачем вообще нужна схема с двумя токенами )
чтобы не спрашивать пользователя заново, что он там разрешил, при короткой жизни access token
но в client credentials пользователя нет
но в client credentials пользователя нет
Ms
есть)
Ms
jwt.io - введите токен и посмотрите что там в поле iat, uid
PD
Denis Migulin
чтобы не спрашивать пользователя заново, что он там разрешил, при короткой жизни access token
но в client credentials пользователя нет
но в client credentials пользователя нет
Не только. Так как refresh-token одноразовый, то если к тебе прилетел повторный запрос на уже протраченный токен, то это говорит о компрометации (или проблемах с сетью) и однозначно повод послать пользователя на аутентификацию еще раз.
Ну и в теории перехватить refresh чуть сложнее, но это не принципиально.
Ну и в теории перехватить refresh чуть сложнее, но это не принципиально.
PD
Denis Migulin
чтобы не спрашивать пользователя заново, что он там разрешил, при короткой жизни access token
но в client credentials пользователя нет
но в client credentials пользователя нет
А я уже не только про client credentials, это мы уже вообще OAuth обсуждаем.
VA
Не только. Так как refresh-token одноразовый, то если к тебе прилетел повторный запрос на уже протраченный токен, то это говорит о компрометации (или проблемах с сетью) и однозначно повод послать пользователя на аутентификацию еще раз.
Ну и в теории перехватить refresh чуть сложнее, но это не принципиально.
Ну и в теории перехватить refresh чуть сложнее, но это не принципиально.
у SPA нет рефреша обычно, как раз
VA
поэтому, видимо, многопоточно обновить access — норм)
PD
у SPA нет рефреша обычно, как раз
Ну, там вообще беда со стандартами. Или все в куку пихать (но при этом компромпетацию не поймать) или таки два токена и refresh прятать где-то (память или локальное хранилище)
Ms
а можно добавить третий фактор и подписывать токен на стороне сервера ip адресом
DM
refresh token не обязательно одноразовый (по спеке)
пример понял, но имхо вероятность словить проблемы сети гораздо выше, чем компрометацию
пример понял, но имхо вероятность словить проблемы сети гораздо выше, чем компрометацию