@lexstile

Как правильно организовать архитектуру авторизации/аутентификации?

access token - localStorage
refresh token - cookie (httpOnly, Secure)
Нарисовал вот такую схему для себя для приватных роутов (запросов):
61be3b6786726848449220.png
Есть непонятные для меня моменты:
1. Если не существует access token, это не означает, что не существует refresh token (в схеме указано, что в этом случае идет редирект на страницу входа (логина), но ведь пользователь может очистить localStorage принудительно, но мы не можем проверить с фронта существует ли refresh token в данный момент).
2. Второй момент, нужно ли проверять access token перед запросом на просрочку? (Т. е., начинаем делать запрос, токен просрочен - мы об этом узнаем не по 401 ошибке с бэка, а путем декодирования и просмотра параметра exp - далее получаем новый и продолжаем делать предыдущую операцию)

Как лучше поступить в данных ситуациях?
  • Вопрос задан
  • 140 просмотров
Решения вопроса 1
inoise
@inoise
Solution Architect, AWS Certified, Serverless
1. Да и пофиг. Не прислали токен (по любой причине) - мы тебя не знаем, сходи за талончиком адрес вот
2. Если мы говорим про фронт то по-хорошему надо, но на практике не так играет роль потому что поведение 401 unauthorized все-равно реализовывать (токен могут просто отозвать же)
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы