истечении рефреш-токена, надо перевыпускать его, верно?
в таком случае, надо при рефреше проверять expire рефреш-токена и, если он близок к now(), отзывать старый токен и выдавать юзеру новую пару access-refresh, верно?
кто-то так делал? какую временную дельту лучше всего установить для этой проверки?
никто не работает с jwt? :(
Когда у меня истекает access token, то я все равно генерю новую пару access-refresh и присылаю. То есть если access token стоит на 2 минуты, то каждые 2 минуты я перегенериваю пару access-refresh
не отзывая при этом старый рефреш-токен? это выглядит очень небезопасно. но если в таком варианте отзывать рефреши, то придется их все хранить где-то в быстром дэни-листе, а это очень большой объем.
Отзывая конечно
Обсуждают сегодня