DS
По jwt вопрос .. что мне с refresh-token делать? В базу писать чтоб убедиться что этот токен первый раз используется?
Зачем? У него есть время жизни, пока живой - можно рефрешить сколько угодно
Size: a a a
2020 October 09
Д
Зачем? У него есть время жизни, пока живой - можно рефрешить сколько угодно
А если украли оба токена. И надо эту сессию убить?
DS
А если украли оба токена. И надо эту сессию убить?
В это и смысл рефреш-токена, их надо хранить в разных местах.
DS
А если украли оба токена. И надо эту сессию убить?
Если у тебя возможно украсть рефреш, то да, надо куда-то писать
Д
В это и смысл рефреш-токена, их надо хранить в разных местах.
Ну ты имеешь ввиду фронт?
Ок. То-есть если не заморачиваться с сессией , то просто генерить рефреш-токен и все?
Ок. То-есть если не заморачиваться с сессией , то просто генерить рефреш-токен и все?
DS
Ну ты имеешь ввиду фронт?
Ок. То-есть если не заморачиваться с сессией , то просто генерить рефреш-токен и все?
Ок. То-есть если не заморачиваться с сессией , то просто генерить рефреш-токен и все?
рефреш отдавай в куке хттп-онли
DS
Если надо мегабезопасно, то тогда да, можно еще в бд писать вместе с айпишником, и при обновлении сверять айпи и инвалидировать токен, если не совпал.
Д
рефреш отдавай в куке хттп-онли
А если это вообще не браузер?
Д
Плюс, как рефреш генерить? Кто-то тула часть от access токена пихают, кто-то просто рандомную строку.
DS
А если это вообще не браузер?
Если клиент не поддерживает куки, то отдавай рефреш вместе с аксес токеном, где хранить, то уже его проблема.
В
Если надо мегабезопасно, то тогда да, можно еще в бд писать вместе с айпишником, и при обновлении сверять айпи и инвалидировать токен, если не совпал.
если клиент с мобильника, там ip меняется часто :/
В
По сути он и нужен для верификации того, что это тот же самый клиент.
DS
Плюс, как рефреш генерить? Кто-то тула часть от access токена пихают, кто-то просто рандомную строку.
Так же как и аксес
Д
Так же как и аксес
Не связывать его никак с ассес?
В
Именно. Но с чуть более высоким кредитом доверия: мол, аксеса у меня нет, вот тебе рефреш. Эт я.
DS
если клиент с мобильника, там ip меняется часто :/
Там можно подумать над фингепринтом, включая подсеть и еще какие-то данные
AM
Александр Некрасов
Ещё один перелёт. Прилечу — гляну.
Д
хм.. ещё по yiisoft/auth-jwt вопрос...
есть метод authenticate, который валидирует токен, и возвращает идентити юзера.
а как мне отвалидировать refresh-token.. по сути, если он такой же точно - всё должно валидироваться точно так же. за исключением того что токен должен быть именно refresh .
то-есть, как мне определить что это именно рефреш-токен? что-бы выдать новый access и refresh ?
есть метод authenticate, который валидирует токен, и возвращает идентити юзера.
а как мне отвалидировать refresh-token.. по сути, если он такой же точно - всё должно валидироваться точно так же. за исключением того что токен должен быть именно refresh .
то-есть, как мне определить что это именно рефреш-токен? что-бы выдать новый access и refresh ?
RT
мне кажется рефреш токен нужен чтобы обновить токен, ну то есть это вроде отдельная ручка должна быть, не?