Задать вопрос
Lastor
@Lastor
В чем сила, брат? В ньютонах.

401 Насколько вероятна циклическая авторизация? И как правильно с ней бороться?

Клиент SPA на spa.domain.ru При загрузке берет токен из куки фронта и шлет на бэк api.domain.ru.
Если токен не принят 401(нету, устарел)
  • отправляю на api.domain.ru/gettoken,
  • ставлю куку на бэк,
  • отправляю на spa.domain.ru#tokengfdgfgsfgds,
  • ставлю куку на фронт.

Вроде бы всё работает. Но я подозреваю, что это может привести к цикличности в определённой ситуации.
Интуитивно чувствую, что что-то делаю не так.
Что я забыл?
Я должен отправлять что-то ещё? Какую-то информацию о том в который раз клиент отправлен за токеном?
Как принято?
Или это и вовсе как-то иначе надо решать?
  • Вопрос задан
  • 64 просмотра
Подписаться 1 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 1
@Voland69
Посмотрите реализацию JWT - клиенту выдается два токена:
1. access - то что нужно для доступа к ресурсу, живет недолго
2. refresh - то что нужно для обновления access токена, живет сессию
по истечении access токена единожды отправляете пару AT + RT auth серверу, если 200 то запоминаете новую пару, повторяете запрос и профит, если не 200 то сессия истекла (тут еще стоит добавить обработку конкретных ошибок, например если этот RT уже использовался для обновления сессии значит его "подсмотрели" и у вас проблемы).
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы