История изменений

Исправление loz, 08.08.20 23:37 (текущая версия) :

В целом инвалидировать можно например логаут через сохранение на бекенде списка невалидных токенов.

Токен перехватили.

По-идее это очень сложно сделать ведь это подразумевает взлом https, в теории возможно через игру сертификатами но их можно форсить. Либо другой вариант что у злоумышленника есть рут-доступ к телефону, что так же можно детектить изнутри приложения. В зависимости от приложения можно по-разному относиться к этим вещам, например банковские приложения откзываются запускаться на рутованных телефонах а какому-нибудь инстарграму может быть пофиг.

Ну и как уже сказали токен должен быть короткоживущим на час-два поэтому шанс утечки и использования его довольно мал.

Исходная версия loz, 08.08.20 23:33:

В целом инвалидировать можно например логаут через сохранение на бекенде списка невалидных токенов.

Токен перехватили.

По-идее это очень сложно сделать ведь это подразумевает взлом https, в теории возможно через игру сертификатами но их можно форсить. Ну и как уже сказали токен должен быть короткоживущим на час-два поэтому шанс утечки и использования его довольно мал.