Задать вопрос
@0x80070005

Для чего refresh токен нужен?

Ребята, вопрос у меня такой. Refresh токен нужен для того, чтобы получить access? Просто есть сайт и тут есть интересный запрос (POST), там передается refresh токен и в ответ мы получаем access и refresh. Взял обычный токен и проверил его действие - действует 1 час. Подождал чуть больше часа и попробовал отправить такой же запрос передавая refresh токен который он ранее возвращал. Но пишет тип недействительный токен. Почему? Я просто хочу access токен таким образом получить :)

Просто непонятно, смысл он тогда возвращает refresh если он ничего не делает, даже access нельзя получить.
  • Вопрос задан
  • 133 просмотра
Подписаться 1 Простой Комментировать
Решения вопроса 1
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
У refresh-токена (как и у основного) есть время жизни. И, если всё правильно сделано, используется refresh-токен один раз. При обновлении основного токена передаётся новая пара основной+refresh. При попытке повторного использования refresh-токена выдаётся ошибка и, возможно, блокируются все текущие refresh-токены данного пользователя, поскольку такая ситуация может означать, что произошла утечка токена.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Aetae
@Aetae
Тлен
Это настройка конкретного сервера. Обычно рефреш живёт дольше основного токена, но ничто не мешает ставить рандомные времена истечения.

Почему вообще нужны два токена, а не один? [Много техического бла-бла-бла, которое сможешь сам нагуглить], подытоживая: потому что второй - костыль для первого и такая технология завоевала популярность.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы