можно усложнить простую аутентификацию jwt/refresh, как это делают менеджеры паролей или те же соц сети?
хотелось бы что даже если access токен украдут, он будет не валиден с другого устройства и вот думаю что можно у пользователя такого запоминать чтоб тяжело было подделать
Хочешь усложнить? Хорошо, бери Hydra + Kratos
Сделай время жизни access в минуту
Слишком просто
https://github.com/OWASP/ASVS/blob/v4.0.2/4.0/OWASP%20Application%20Security%20Verification%20Standard%204.0.2-en.pdf
Спасибо
Обсуждают сегодня