Задать вопрос

Sergey Khindrikson @kh1ndr

front-end dev

идентификация-пользователей

Идентификация пользователей

Где хранить refresh token безопасно?

1. Если и access и refresh хранить в localStorage, то до них можно добраться через консоль (не подходит)
2. Если refresh токен изолировать в куки, даже с флагом httpOnly, его можно увидеть в панели разработчика/Applications/Cookies (тоже не подходит)

Как быть?

Вопрос задан более двух лет назад
132 просмотра

3 комментария

Подписаться 1 Средний 3 комментария

Hekkaro @Hekkaro

httpOnly, его можно увидеть в панели разработчика/Applications/Cookies

И что будет если пользователь увидит его?

Написано более двух лет назад
Sergey Khindrikson @kh1ndr Автор вопроса

Hekkaro, если это злоумышленник, через него он может получить новый access и refresh токены = авторизоваться

Написано более двух лет назад
Hekkaro @Hekkaro

Sergey Khindrikson, злоумышленник не сможет увидеть токен пользователя, если пользователь сам не дал доступ к к своему устройству злоумышленнику, или если этот же злоумышленник каким нибудь образом взломал устройство пользователя. Но это уже не ваши проблемы, это проблемы пользователя, так что сохраняйте в куках с флагами httpOnly, secure и не переживайте.

Написано более двух лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

VPN

+1 ещё

Простой
Как войти в личный кабинет МосОблЕирц из за границы?
- 1 подписчик
- 08 нояб.
- 321 просмотр
1

ответ
Telegram

+1 ещё

Средний
Как получить Auth Key для работы с Telegram API из tdata в NodeJS?
- 1 подписчик
- 31 окт.
- 180 просмотров
0

ответов
Автоматизация

+2 ещё

Средний
Как настроить или в каком направлении почитать, что бы настроить бесшовную аутентификацию через Keycloak?
- 4 подписчика
- 17 окт.
- 650 просмотров
0

ответов
Веб-разработка

+2 ещё

Средний
Какие параматры устройства отслеживает сайт для идентификации пользователя?
- 1 подписчик
- 17 окт.
- 486 просмотров
2

ответа
Spring

+2 ещё

Простой
Как реализовать вход через Steam?
- 1 подписчик
- 18 сент.
- 154 просмотра
1

ответ
Идентификация пользователей

+1 ещё

Средний
Как восстановить доступ к аккаунту в LinkedIn при наличии сообщения «вы уже отправили запрос»?
- 1 подписчик
- 31 авг.
- 112 просмотров
0

ответов
Linux

+1 ещё

Средний
Как сбросить счетчик неудачных попыток входа локального пользователя на машине введеной в домен ALD с сервера?
- 1 подписчик
- 28 авг.
- 306 просмотров
1

ответ
Боты

+1 ещё

Простой
Как создать авторизацию вб через чат бот телеграм?
- 1 подписчик
- 23 авг.
- 51 просмотр
0

ответов
VPN

+3 ещё

Простой
Как скрыть прокси в антидетекте, чтобы конечным был IP прокси?
- 1 подписчик
- 21 авг.
- 265 просмотров
2

ответа
Хранение данных

+2 ещё

Простой
Может ли приложение хранить данные, полученные с Госуслуг, даже если пользователь отозвал разрешение?
- 1 подписчик
- 26 июн.
- 128 просмотров
2

ответа
Показать ещё Загружается…

Инженер технической поддержки пользователей

Гринатом • Нижний Новгород

от 65 000 ₽

Монтажник интернет-сетей (инсталлятор)

beeline • Москва

До 168 000 ₽

Аналитик 1С ERP (регламентированный учет)

Мечел-ИнфоТех

от 190 000 ₽

Выложить 75 курсов на геткурс и настроить базовые функции

26 нояб. 2024, в 02:18

15000 руб./за проект

Редизайн и доработка интернет магазина на wordPress

25 нояб. 2024, в 23:42

50000 руб./за проект

Разработка мобильного приложения с дополненной реальностью (AR)

25 нояб. 2024, в 23:32

200000 руб./за проект