di
друзей-знакомых в этой сфере нет. На работе я один этим занимаюсь поэтому не у кого больше спросить
Size: a a a
2020 September 17
A
по-другому ты и не сделаешь. токен надо обновлять когда время его истекает с помощью refreshtoken (если есть).
A
на сплэш скрине проверяешь, если есть токен -> на главную страницу, если нет - логин страница. все верно
MA
di
по-другому ты и не сделаешь. токен надо обновлять когда время его истекает с помощью refreshtoken (если есть).
по поводу рефреш токена вкурсе. Но можно по факту и без него обойтись же поставив неограниченное время жизни токена.Или все же так делать не стоит даже если наш бесконечный токен хранится в защищенном хранилище? И я же правильно понимаю что такая система взаимодействия клиента и сервера защитит как серверные сервисы от утечки данных(когда например злой школьник узнал параметры запроса и их точные значения, если сервис не использует токены) так и клиентское приложение?
di
с учетом того что это все по https общается
MA
по-другому ты и не сделаешь. токен надо обновлять когда время его истекает с помощью refreshtoken (если есть).
вот такой подход самый правильный
A
dmitrii ivanov
по поводу рефреш токена вкурсе. Но можно по факту и без него обойтись же поставив неограниченное время жизни токена.Или все же так делать не стоит даже если наш бесконечный токен хранится в защищенном хранилище? И я же правильно понимаю что такая система взаимодействия клиента и сервера защитит как серверные сервисы от утечки данных(когда например злой школьник узнал параметры запроса и их точные значения, если сервис не использует токены) так и клиентское приложение?
ну если перехватили обычный токен (не с устройства, так хоть сниффером) то надежда, что как этот токен истечет, злоумышленник потеряет доступ
A
dmitrii ivanov
по поводу рефреш токена вкурсе. Но можно по факту и без него обойтись же поставив неограниченное время жизни токена.Или все же так делать не стоит даже если наш бесконечный токен хранится в защищенном хранилище? И я же правильно понимаю что такая система взаимодействия клиента и сервера защитит как серверные сервисы от утечки данных(когда например злой школьник узнал параметры запроса и их точные значения, если сервис не использует токены) так и клиентское приложение?
смотря, делаешь ли ты банковское приложение или аналог пикабу
A
соответственно, время токена от пары минут до бесконечности
t
Переслано от tdesc
t
ссылка на митап Лиги и Яндекса
t
начало в 18
MA
а что там будет ?
di
ну если перехватили обычный токен (не с устройства, так хоть сниффером) то надежда, что как этот токен истечет, злоумышленник потеряет доступ
Правильно ли я понимаю, что сейчас на ряду с отправкой Access токена на клиент(мобильное приложение) мне еще просто надо предусмотреть отправку Refresh токена. При чем время жизни Access должно быть гораздо меньше Refresh токена. Оба токена я могу хранить в защищенном хранилище через flutter secure storage и обновлять записи в ней по мере необходимости?
A
dmitrii ivanov
Правильно ли я понимаю, что сейчас на ряду с отправкой Access токена на клиент(мобильное приложение) мне еще просто надо предусмотреть отправку Refresh токена. При чем время жизни Access должно быть гораздо меньше Refresh токена. Оба токена я могу хранить в защищенном хранилище через flutter secure storage и обновлять записи в ней по мере необходимости?
Да, на клиента шлется refreshtoken, accesstoken, expiredate
di
ну хранить в защищенном хранилище как аналоге печенек в вебе
AS
ссылка на митап Лиги и Яндекса
А что там будет?
A
dmitrii ivanov
ну хранить в защищенном хранилище как аналоге печенек в вебе
Храни там, но как по мне, можно хоть в обычные sharedpreferences
MA
я храню в sharedpreferences