SP
или явно отдельные этапы "сделали сессию через multi factor" и "получили jwt"
Size: a a a
2021 October 29
SP
причем сессии не на jwt и всеравно надо где-то хранить. или у тебя jwt токены вечные и их можно украсть и тогда нахер делал 2fa не понятно
SP
а если 2fa для подтверждения операций то опять же токен на месте генерь
SP
смотри картинку там ответы
SP
берешь генеришь токен возвращаешь пользователю. для этого не нужны бандлы ну или сервисом поставляемым бандлом это делай. бандл тебе аутентификацию когда токен уже есть поможет организовать
SP
но е сли у твоего jwt бесконечное время жизни или никак нельзя продлить то оч сомнительное решение выйдет с точки зрения безопасности и ux
AS
Кстати, я так и не понял, как работает рефреш токен, если кто-то может рассказать основной принцип работы, я был бы очень благодарен
КГ
А для чего тебе jwt?
AS
Типа этот токен хранится у юзера на устройстве?
AS
У каждого юзера он уникальный?
AS
А валидация рефреш токена через базу проходит?