Где хранить refresh token безопасно?

Question

Sergey Khindrikson @kh1ndr

front-end dev

Идентификация пользователей

Где хранить refresh token безопасно?

1. Если и access и refresh хранить в localStorage, то до них можно добраться через консоль (не подходит)
2. Если refresh токен изолировать в куки, даже с флагом httpOnly, его можно увидеть в панели разработчика/Applications/Cookies (тоже не подходит)

Как быть?

Вопрос задан более трёх лет назад
146 просмотров

3 комментария

Подписаться 1 Средний 3 комментария

Hekkaro @Hekkaro

httpOnly, его можно увидеть в панели разработчика/Applications/Cookies

И что будет если пользователь увидит его?

Написано более трёх лет назад
Sergey Khindrikson @kh1ndr Автор вопроса

Hekkaro, если это злоумышленник, через него он может получить новый access и refresh токены = авторизоваться

Написано более трёх лет назад
Hekkaro @Hekkaro

Sergey Khindrikson, злоумышленник не сможет увидеть токен пользователя, если пользователь сам не дал доступ к к своему устройству злоумышленнику, или если этот же злоумышленник каким нибудь образом взломал устройство пользователя. Но это уже не ваши проблемы, это проблемы пользователя, так что сохраняйте в куках с флагами httpOnly, secure и не переживайте.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Python-разработчик

10 месяцев

Далее
Skillfactory

DevOps-инженер

6 месяцев

Далее
Нетология

Python-разработчик с нуля

6 месяцев

Далее

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

iOS

+1 ещё

Простой
Basic авторизация на сайте через QR код на IOS все равно появляется окно для ввода логина и пароля. Почему так?
- 2 подписчика
- 16 окт.
- 137 просмотров
0

ответов
Идентификация пользователей

+1 ещё

Простой
Почему JWT-авторизация использует два раздельных токена (access + refresh), а не один комбинированный?
- 1 подписчик
- 05 авг.
- 247 просмотров
3

ответа
Идентификация пользователей

Простой
Какой лучший способ хранения данных аутентификации?
- 2 подписчика
- 24 июл.
- 140 просмотров
1

ответ
Веб-разработка

+2 ещё

Простой
Как работают сервисы «Идентификация посетителей» (получения номера телефона)?
- 2 подписчика
- 12 мая
- 1049 просмотров
1

ответ
WordPress

+2 ещё

Простой
Wordpress woocommerce. Отправка пароля пользователю. Как сделать?
- 1 подписчик
- 03 мая
- 180 просмотров
2

ответа
Spring

+2 ещё

Простой
Как создать авторизацию через Steam на Java?
- 1 подписчик
- 06 апр.
- 146 просмотров
1

ответ
Информационная безопасность

+2 ещё

Средний
Как реализовать доступ как api только с приложения?
- 1 подписчик
- 31 мар.
- 111 просмотров
2

ответа
Идентификация пользователей

Простой
Как получить данные о транзакции TON Connect если он возвращате BOC?
- 1 подписчик
- 19 мар.
- 78 просмотров
0

ответов
Идентификация пользователей

Простой
Как сайты распознают что я не уникальный пользователь?
- 1 подписчик
- 13 мар.
- 168 просмотров
0

ответов
Компьютерные сети

+2 ещё

Средний
Возможно ли добавить дополнительную авторизацию перед доступом к веб-серверу?
- 1 подписчик
- 11 мар.
- 261 просмотр
5

ответов
Показать ещё Загружается…

DevOps-инженер

DevTeam.Space

от 1 000 до 2 500 $

Senior/Lead PHP Developer

Boomerangme 🎫

от 4 000 до 7 000 $

Системный аналитик

ДАЛЕЕ • Москва

от 200 000 ₽

httpOnly, его можно увидеть в панели разработчика/Applications/Cookies

И что будет если пользователь увидит его?
Hekkaro, если это злоумышленник, через него он может получить новый access и refresh токены = авторизоваться
Sergey Khindrikson, злоумышленник не сможет увидеть токен пользователя, если пользователь сам не дал доступ к к своему устройству злоумышленнику, или если этот же злоумышленник каким нибудь образом взломал устройство пользователя. Но это уже не ваши проблемы, это проблемы пользователя, так что сохраняйте в куках с флагами httpOnly, secure и не переживайте.

Где хранить refresh token безопасно?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт