на сервер (оно понятно) .
Я предполагаю при попытке логина отправлять
pass (захэшированный (пароль + соль))
, и получать в ответ уникальный
идентификатор
от сервера. На сервере у себя оставляю идентификатор и срок годности. Если задавать срок годности на клиенте, то что мешает зловреду постоянно отодвигать его и пользоваться аккаунтом?
А если оставлять только на сервере, то как клиенту понять через сколько ему надо снова логиниться. Чёт запутался. Или это у меня паранойя?
а зачем ему еще раз логиниться? зачем тебе expiration вообще?
> чтобы каждый раз не долбиться за авторизацией на сервер (оно понятно) не, непонятно
> Если задавать срок годности на клиенте, то что мешает зловреду постоянно отодвигать его и пользоваться аккаунтом? Подмешивай дату содания этого токена в хеш, это и будет мешать отодвинуть - если дату изменить, то хеш не сойдется
Обсуждают сегодня