Не понимаю до конца как это происходит. Можете дать ссылки на литературу и статьи, интересуют различные варианты авторизации: классический, по токенам, с рефреш токеном и т.п.
Нахожу статьи, но они в режиме how to, поверхностно или уже для тех кто прозрел, а интересует подробно, с описанием механизмов.
Работал над сайтом, нашел скрипт, который был загружен через "дыру", он получал из php.ini адреса папок session, tmp, кучу других настроек, что доступно менял. Потом скрипт, который сливал базу. Конечно, это прямо вопиющий взлом и от него не спасут ни какие токены и авторизация по СМС. Но, это заставило задуматься над процессом авторизации и его уязвимости.
Простой
