Задать вопрос

Sergey Khindrikson @kh1ndr

front-end dev

идентификация-пользователей

Идентификация пользователей

Где хранить refresh token безопасно?

1. Если и access и refresh хранить в localStorage, то до них можно добраться через консоль (не подходит)
2. Если refresh токен изолировать в куки, даже с флагом httpOnly, его можно увидеть в панели разработчика/Applications/Cookies (тоже не подходит)

Как быть?

Вопрос задан более года назад
115 просмотров

3 комментария

Подписаться 1 Средний 3 комментария

Hekkaro @Hekkaro

httpOnly, его можно увидеть в панели разработчика/Applications/Cookies

И что будет если пользователь увидит его?

Написано более года назад
Sergey Khindrikson @kh1ndr Автор вопроса

Hekkaro, если это злоумышленник, через него он может получить новый access и refresh токены = авторизоваться

Написано более года назад
Hekkaro @Hekkaro

Sergey Khindrikson, злоумышленник не сможет увидеть токен пользователя, если пользователь сам не дал доступ к к своему устройству злоумышленнику, или если этот же злоумышленник каким нибудь образом взломал устройство пользователя. Но это уже не ваши проблемы, это проблемы пользователя, так что сохраняйте в куках с флагами httpOnly, secure и не переживайте.

Написано более года назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 82 просмотра
2

ответа
Идентификация пользователей

+2 ещё

Средний
Что использовать для распознавания диктора?
- 1 подписчик
- 19 мар.
- 32 просмотра
0

ответов
Node.js

+3 ещё

Сложный
Как настроить авторизацию на Freeradius для captive portal с разделением на user и admin?
- 1 подписчик
- 15 мар.
- 48 просмотров
0

ответов
Apache HTTP Server

+1 ещё

Простой
Как задать ограничение одному пользователю в basic auth?
- 1 подписчик
- 09 мар.
- 30 просмотров
0

ответов
WordPress

+1 ещё

Средний
Как сделать раздельную регистрацию на WordPress?
- 1 подписчик
- 07 мар.
- 70 просмотров
1

ответ
Идентификация пользователей

Средний
Как реализовать сквозную авторизацию?
- 2 подписчика
- 17 февр.
- 201 просмотр
2

ответа
Java

+1 ещё

Простой
Как правильно реализовать аунтификацию пользователя?
- 3 подписчика
- 02 февр.
- 1041 просмотр
0

ответов
Проектирование программного обеспечения

+2 ещё

Средний
Какой самый простой способ организовать SSO?
- 5 подписчиков
- 15 янв.
- 1014 просмотров
4

ответа
Telegram

+3 ещё

Средний
Как получать данные для Telegram WebApp authentication?
- 2 подписчика
- 10 янв.
- 477 просмотров
1

ответ
Идентификация пользователей

Средний
Какой принцип у авторизации через разные сервисы? Дискорд, Гугл, Фейсбук?
- 1 подписчик
- 24 дек. 2023
- 92 просмотра
1

ответ
Показать ещё Загружается…

Специалист технической поддержки (работа из офиса г.Казань)

Данафлекс • Казань

от 60 000 ₽

Senior ML Engineer (Computer Vision)

Gradient

от 450 000 ₽

Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)

MYRTEX

от 40 000 ₽

Доработка плагина для outlook

25 апр. 2024, в 12:57

1000 руб./в час

Проверить сайт на уязвимости

25 апр. 2024, в 12:50

1000 руб./в час

Нарисовать рекламный креатив для ios приложения

25 апр. 2024, в 12:26

10000 руб./за проект