Как вообще работать с refresh токенами? То есть по спецификации refresh token должен быть использован единыжды для получени новой пары access refresh. Но если access будет инвалидирован сам по expired time, то что делать с refresh? Хранить все инвалидные токены это как то не очень решение(ну как мне кажется). Да и вся суть jwt вроде как в их самодостаточности
из собственного кейса: фронт идёт на бэк с запросом, тот отвечает фронту статусом 401, мол иди авторизуйзся там то и там то, ну ладно, пойдём авторизуемся. После авторизации на конкретном сервере ответ на фронт идёт тем же путём через наш бэк, токены кладутся в редис. Дальше фронт работает с бэком подписывая запросы токеном (ну не подписывая, а подставляя параметр token во все запросы), в какой-то момент мы от бэка получает ответ, мол токен то протух (он на каждый запрос проверяет валидность токена), точнее даже так: в момент протухания токена бэк идёт на сервер авторизации и рифрешит токен передавая ему refresh_token (refresh_token из сессии юзера можно вытащить, а сесси тащится из редиса по session_id)
со стороны бэка или фронта?
Обсуждают сегодня