Где хранить refresh token безопасно?

Question

Sergey Khindrikson @kh1ndr

front-end dev

Идентификация пользователей

Где хранить refresh token безопасно?

1. Если и access и refresh хранить в localStorage, то до них можно добраться через консоль (не подходит)
2. Если refresh токен изолировать в куки, даже с флагом httpOnly, его можно увидеть в панели разработчика/Applications/Cookies (тоже не подходит)

Как быть?

Вопрос задан более трёх лет назад
157 просмотров

3 комментария

Подписаться 1 Средний 3 комментария

Hekkaro @Hekkaro

httpOnly, его можно увидеть в панели разработчика/Applications/Cookies

И что будет если пользователь увидит его?

Написано более трёх лет назад
Sergey Khindrikson @kh1ndr Автор вопроса

Hekkaro, если это злоумышленник, через него он может получить новый access и refresh токены = авторизоваться

Написано более трёх лет назад
Hekkaro @Hekkaro

Sergey Khindrikson, злоумышленник не сможет увидеть токен пользователя, если пользователь сам не дал доступ к к своему устройству злоумышленнику, или если этот же злоумышленник каким нибудь образом взломал устройство пользователя. Но это уже не ваши проблемы, это проблемы пользователя, так что сохраняйте в куках с флагами httpOnly, secure и не переживайте.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Нетология

1C-программист: расширенный курс

18 месяцев

Далее
Академия Эдюсон

Python-разработчик + ИИ

9 месяцев

Далее
ProductStar × РБК

Профессия: Инженер по информационной безопасности + ИИ

9 месяцев

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Facebook

+2 ещё

Простой
Риск блокировки WhatsApp / Facebook при регистрации нескольких рабочих аккаунтов с одного IP?
- 1 подписчик
- 08 апр.
- 169 просмотров
1

ответ
Яндекс

+2 ещё

Средний
Как работает аутентификация Яндекса через QR-код?
- 1 подписчик
- 28 окт. 2025
- 495 просмотров
1

ответ
iOS

+1 ещё

Простой
Basic авторизация на сайте через QR код на IOS все равно появляется окно для ввода логина и пароля. Почему так?
- 2 подписчика
- 16 окт. 2025
- 174 просмотра
0

ответов
Идентификация пользователей

+1 ещё

Простой
Почему JWT-авторизация использует два раздельных токена (access + refresh), а не один комбинированный?
- 1 подписчик
- 05 авг. 2025
- 307 просмотров
2

ответа
Идентификация пользователей

Простой
Какой лучший способ хранения данных аутентификации?
- 2 подписчика
- 24 июл. 2025
- 159 просмотров
1

ответ
Веб-разработка

+2 ещё

Простой
Как работают сервисы «Идентификация посетителей» (получения номера телефона)?
- 2 подписчика
- более года назад
- 1082 просмотра
1

ответ
WordPress

+2 ещё

Простой
Wordpress woocommerce. Отправка пароля пользователю. Как сделать?
- 1 подписчик
- более года назад
- 192 просмотра
2

ответа
Spring

+2 ещё

Простой
Как создать авторизацию через Steam на Java?
- 1 подписчик
- более года назад
- 183 просмотра
1

ответ
Информационная безопасность

+2 ещё

Средний
Как реализовать доступ как api только с приложения?
- 1 подписчик
- более года назад
- 118 просмотров
2

ответа
Идентификация пользователей

Простой
Как получить данные о транзакции TON Connect если он возвращате BOC?
- 1 подписчик
- более года назад
- 86 просмотров
0

ответов
Показать ещё Загружается…

httpOnly, его можно увидеть в панели разработчика/Applications/Cookies

И что будет если пользователь увидит его?
Hekkaro, если это злоумышленник, через него он может получить новый access и refresh токены = авторизоваться
Sergey Khindrikson, злоумышленник не сможет увидеть токен пользователя, если пользователь сам не дал доступ к к своему устройству злоумышленнику, или если этот же злоумышленник каким нибудь образом взломал устройство пользователя. Но это уже не ваши проблемы, это проблемы пользователя, так что сохраняйте в куках с флагами httpOnly, secure и не переживайте.

Где хранить refresh token безопасно?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт