История изменений
Исправление neversleep, (текущая версия) :
Если у злоумышленника есть возможность украсть access-токен, то что мешает украсть и refresh-токен, а затем намутить себе собственных access-токенов?
Ничто не мешает. Но в теории при генерации refresh-token ты можешь использовать ip и/или user-agent пользователя, который залогинился, что уже сужает круг злоумышленников.
Ничто не мешает. Но в теории при генерации access-token в качестве secret phrase ты можешь использовать ip и/или user-agent пользователя (можно и в payload эти поля добавить), который залогинился, что уже сужает круг злоумышленников.
refresh-token можно генерировать новый при каждом входе, но более безопасно сделать так, чтобы его хватало на N раз. Хотя, более безопасно или нет, наверно зависит от твоей внутренней логики.
Исправление neversleep, :
Если у злоумышленника есть возможность украсть access-токен, то что мешает украсть и refresh-токен, а затем намутить себе собственных access-токенов?
Ничто не мешает. Но в теории при генерации access-token в качестве secret phrase ты можешь использовать ip и/или user-agent пользователя (можно и в payload эти поля добавить), который залогинился, что уже сужает круг злоумышленников.
refresh-token можно генерировать новый при каждом входе, но более безопасно сделать так, чтобы его хватало на N раз. Хотя, более безопасно или нет, наверно зависит от твоей внутренней логики.
Исправление neversleep, :
Если у злоумышленника есть возможность украсть access-токен, то что мешает украсть и refresh-токен, а затем намутить себе собственных access-токенов?
Ничто не мешает. Но в теории при генерации access-token в качестве secret phrase ты можешь использовать ip и/или user-agent пользователя (можно и в payload эти поля добавить), который залогинился, что уже сужает круг злоумышленников.
refresh-token можно генерировать новый при каждом входе, но более безопасно сделать так, чтобы его хватало на N раз. Хотя, более безопасно или нет, наверно зависит от твоей внутренней логики.
Исходная версия neversleep, :
Если у злоумышленника есть возможность украсть access-токен, то что мешает украсть и refresh-токен, а затем намутить себе собственных access-токенов?
Ничто не мешает. Но в теории при генерации access-token в качестве secret phrase ты можешь использовать ip и/или user-agent пользователя (можно и в payload эти поля добавить), который залогинился, что уже сужает круг злоумышленников.
refresh-token можно генерировать новый при каждом входе, но более безопасно сделать так, чтобы его хватало на N раз.