токен, можно же без труда получить access токен.
Как я понял, refresh токен живет дольше и лежит в куках с httponly, а access отправляется с каждым запросом и когда он умирает, то с помощью refresh токена мы получаем access токен?
Refresh token используется в аутентификации и авторизации, чтобы обновлять access token без необходимости повторной аутентификации пользователя. Когда пользователь входит в систему, ему выдаются два токена: access token и refresh token. Access token используется для доступа к ресурсам или данным на сервере в течение ограниченного времени. Когда access token истекает, вместо того, чтобы заставлять пользователя вводить учетные данные снова, refresh token может быть использован для получения нового access token. Таким образом, refresh token позволяет поддерживать постоянную авторизацию пользователя, пока действителен refresh token. Refresh token является более долгосрочным и безопасным способом обеспечения безопасности приложения, так как он не передается в открытом виде и обычно хранится в безопасном месте, в то время как access token имеет ограниченное время жизни и передается при каждом запросе.
Это я знаю, натыкался в статьях. Но у меня остается недопонимание, я кладу например refresh токен в куки с httponly, чтобы JS не смогу его взять, там вроде как безопасно, но этот токен с каждым запросом тогда будет уходить на сервер. Либо я кладу в локальное хранилище, что не очень безопасно.
Обсуждают сегодня