хорошая практика хранить aсcess_token (JWT) именно в замыкании, a refresh в httpOnly cookie. У меня вопрос - кто то сталкивался с этим? Может есть какая-то статья на эту тему ?
А я все в локалсторедж пихал🤦♂
Мне тоже интересно узнать об этом.
Ну у меня щас access_token в Vuex + local storage, а refresh + crsf refresh в куках) но вот стало интересно изучить хранение в замыкании)
А почему рефреш в куках?
Ну звучит правильно, основная причина - возможность украсть данные из стоража. Я храню ве токены в куках когда из браузера.
Практика безопасности.
Если злоумышленник получит доступ к access_token - то он так или иначе истечет через 30 минут, а если к refresh - у него появится возможность обновлять access_token
Для меня во всем этом есть много непонятного. Во первых если мы один раз получили токен, почему не можем перехватить его второй раз, или делать это постоянно? Почему 30 минут мало? Мне кажется эт как-то странно считать что временный токен типа небезопасный, но это нормально..
Потому что refresh кука http(s) only. Из жы эса ее не своровать.
Обсуждают сегодня