170 похожих чатов

При авторизации пользователь получает рефреш токен, который в свою очередь

генерирует ему access токен для доступа.
При повторной авторизации рефреш токен изменяется.

1 вопрос. Рефреш токен мы же храним в БД, а access токен сы расшифроваем и проверяем его на валидность, верно? ( если нет, то объясните)

2 вопрос. Вот я получил рефреш токен на пк от пользователя "Петя" и захотел авторизоваться через телефон под пользователем "Петя", тем самым получу рефреш токен, а предыдущий станет не валидным, и получается с ПК я разлогинусь. Возможно ли реализовать для нескольких устройств, если да, то как?

10 ответов

15 просмотров

Лучше не делай свою авторизацию, это проклятая область как и криптография. Чем меньше отсебятины, тем лучше

Ayrat Hudaygulov
Лучше не делай свою авторизацию, это проклятая обл...

Там всё настолько хуево в плане секурити, что проебаться можно ВЕЗДЕ. поэтому там странные куки, хедеры, стейты какие-то пересылаются, токены в фрагментах, редирект урлы с вайтлистом

И тут ты должен предложить приобрести свое платное решение

Oleg Safonov
И тут ты должен предложить приобрести свое платное...

Я кстати могу предложить свои платные услуги по настройке айдентити менеджмента в вашей компании! Облачное, онпрем, легаси, кастом, федерации, хуерации, ССО - 500 долларов в час и я твоя

1. Рефреш токен хранится у юзера где-то (локал сторадж, куки) Айди этого токена (jti) хранится на сервере для возможного ревоука (отзыва) и для мониторинга сессий. 2. Ты можешь иметь несколько активных сессий. Можешь и не иметь. Зависит от твоих секурити политик. От них и настраивай выдачу токенов (отзывать все предыдущие при логине из нового места или вносить в список активных с уведомлением о логине из нового места/девайса предыдущим сессиям)

FSnikers-Zhuk Автор вопроса
Ayrat Hudaygulov
1. Рефреш токен хранится у юзера где-то (локал сто...

а как примерно в коде бы выглядело? я бы раскодировал полученный токен от клиента и проверял его на актуальность?

FSnikers Zhuk
а как примерно в коде бы выглядело? я бы раскодиро...

Сверял бы айди токена со списком активных сессий пользователя и если не находил бы там такой - кидал бы в ответ 401

FSnikers Zhuk
а несколько пользователей?

У каждого пользователя свой список активных сессий)

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта