170 похожих чатов

Привет всем! Подскажите в чем смысл access и refresh токенов? Скомпрометировав refresh

токен, можно же без труда получить access токен.

Как я понял, refresh токен живет дольше и лежит в куках с httponly, а access отправляется с каждым запросом и когда он умирает, то с помощью refresh токена мы получаем access токен?

2 ответов

18 просмотров

Refresh token используется в аутентификации и авторизации, чтобы обновлять access token без необходимости повторной аутентификации пользователя. Когда пользователь входит в систему, ему выдаются два токена: access token и refresh token. Access token используется для доступа к ресурсам или данным на сервере в течение ограниченного времени. Когда access token истекает, вместо того, чтобы заставлять пользователя вводить учетные данные снова, refresh token может быть использован для получения нового access token. Таким образом, refresh token позволяет поддерживать постоянную авторизацию пользователя, пока действителен refresh token. Refresh token является более долгосрочным и безопасным способом обеспечения безопасности приложения, так как он не передается в открытом виде и обычно хранится в безопасном месте, в то время как access token имеет ограниченное время жизни и передается при каждом запросе.

Павел- Автор вопроса
Dmitry
Refresh token используется в аутентификации и авто...

Это я знаю, натыкался в статьях. Но у меня остается недопонимание, я кладу например refresh токен в куки с httponly, чтобы JS не смогу его взять, там вроде как безопасно, но этот токен с каждым запросом тогда будет уходить на сервер. Либо я кладу в локальное хранилище, что не очень безопасно.

Похожие вопросы

Обсуждают сегодня

30500 за редактор? )
Владимир
47
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
вы делали что-то подобное и как? может есть либы готовые? увидел картинку нокода, где всё линиями соединено и стало интересно попробовать то же в ddl на lua сделать. решил с ч...
Victor
8
Подскажите пожалуйста, как в CustomDrawCell(Sender: TcxCustomGridTableView; ACanvas: TcxCanvas; AViewInfo: TcxGridTableDataCellViewInfo; var ADone: Boolean); получить наз...
A Z
7
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Как передать управляющий символ в открытую через CreateProcess консоль? Собсна, есть процедура: procedure TRedirectThread.WriteData(Data: OEMString); var Written: Cardinal;...
Serjone
1
Он в одиночку это дело запилил или была какая-то команда?
Aquinary
12
~ 2m21s  nix shell github:nixos/nixpkgs#stack ~  stack ghc -- --version error: … while calling the 'derivationStrict' builtin at /builtin/derivation.nix:...
Rebuild your mind.
6
Всем привет, нужна как никогда, нужна помощь с IO в загрузчике. Пишу в code16 после установки сегментных регистров, пишу вывод символа. Пробовал 2 варианта: # 1 mov $0x0E, %a...
Shadow Akira
14
Карта сайта