лакал сторадж?
вообщем, у меня на беке есть access и refresh токены. Access токен живет минуту и по нему дается вся инфа, запрос на рефреш токен требует поле для заполнения refresh, которое дается при авторизации вместе c access токеном. Соответственно я и беру два токена и кладу в локал сторадж, когда access токен истекает я делаю запрос на рефреш токен с нужным refresh токеном в параметрах и в ответ мне прилетают новые два токена access и refresh. Как то можно сделать так, чтобы не хранить нигде refresh токен??
А норм практика два токена access и refresh хранить в сторадж?
А как иначе?
норм, но я старовер и больше доверяю кукам
То есть норм? Я бекендер, вот сейчас фронт пишу и изучаю
в любом случае над безопасностью нужно подумать
Оба нужны, оба для разных целей... Лишь бы не impliciteflow
разницы нет украдут у вас 2 токена или куки-сессию и там и там получат доступ к сайту есть механизмы защиты, не все действенные, но всё же тут вопрос в другом, зачем вам именно токенная-авторизация и почему нужна именно она, а не другая альтернатива
Да вот я читал про SPA и везде про jwt написано. Современно, безопасно и все такое. Вот я и сделал jwt
тут уже смотря какое SPA, для админки JWT хорошо подходит, для интернет магазина с API-сервером хватает и обычного bearer токена
Аксесс токен хранишь в сторе приложения, а рефреш ставишь в куку сразу с бэка, httpOnly, same site, и path только на путь эндпоинтов, где этот рефреш токен нужен, условно /api/auth А в ответе желательно вообще не отдавать рефреш токен, если у тебя нет какого-нибудь мобильного приложения
У меня data и status - undefiend так как статус 400 равен (refresh: обязательное поле). Можешь сказать как refresh token из куки передать в этом пост запросе?? я думал это сделает withCredentials...
Обязательно *поле* Ты сам ответил на свой вопрос
У тебя оно не полем должно быть, а доставаться из куков
ищите сразу реализацию на промисах....и очередях, т.к. могут проскочить сразу несколько запросов - а токен протух))))) и надо будет подождать рефреша, а затем поменять заголовки авторизации в очереди
А вы уверены что куки не отправляются на сервер? Посмотрите в Нетворк этого запроса, а именно во вкладке Headers -> Request Headers
с этим сначала разобраться бы
А теперь покажите код на сервере, как вы обрабатывает входящие куки ? Вы дали ему возможность с ними работать?
эм.. на беке я использую пакет simple jwt для django rest framework. Я кастомизировал пост запрос чтобы refresh в куку прятать.
бывают задачи максимально индивидуальны)
В итоге, вам нужно дописать на беке, на клиенте у вас все ок, ваша кука отправляется
спасибо, дописал middleware на беке. Все работает. Позволь еще вопрос, я того что я написал для рефреша на фронте достаточно? Или нужно как то сделать чтобы фоном запрашивался и обновлялся access токен. Вообщем чтобы не случилось такого что вдруг разлогиниться внезапно
💪 Да вроде сойдет) У тебя твой рефреш должен тебе возвращать новую пару аксеса и рефреша(рефреш не обязателен, если ты ток не хочешь к примеру на мобилках использовать, там с куками беда), этот новый акссес подставляешь в клиент.
спасибо. Точно, рефреш из респонса еще забыл убрать. Отлично, целый день сижу с этим) ну раз ок, значит ок
Обсуждают сегодня