Всем привет!
Понадобилось мне авторизовывать своих юзеров через oauth, идея была простая, сделать по типу описанного на хабре
https://habrahabr.ru/company/Voximplant/blog/323160/ .
Злодей увел у юзера токены и не воспользовались рефрешем - юзер обновил токен, и злодея выкинуло.
Злодей увел у юзера токены и воспользовались рефрешем - юзер залогинился, и злодея сново выкинуло.
Но тут возникает проблема - что делать если юзер сидит с нескольких устройств? Когда он логинится со второго компа нельзя отличить, увели у него прошлую сессию, и он перелогинивается лишившись access токена, или хочет сохранить обе сессии.
Можно конечно при логине запрашивать еще и рефрэш по которому не получилось обновиться, но может есть принятый и не костыльный метод?
Средний
Простой
