Задать вопрос
@Fluttercry

Oauth, как правильно реализовать refresh и access токены для юзера с множеством устройств?

Всем привет!
Понадобилось мне авторизовывать своих юзеров через oauth, идея была простая, сделать по типу описанного на хабре https://habrahabr.ru/company/Voximplant/blog/323160/ .
Злодей увел у юзера токены и не воспользовались рефрешем - юзер обновил токен, и злодея выкинуло.
Злодей увел у юзера токены и воспользовались рефрешем - юзер залогинился, и злодея сново выкинуло.
Но тут возникает проблема - что делать если юзер сидит с нескольких устройств? Когда он логинится со второго компа нельзя отличить, увели у него прошлую сессию, и он перелогинивается лишившись access токена, или хочет сохранить обе сессии.
Можно конечно при логине запрашивать еще и рефрэш по которому не получилось обновиться, но может есть принятый и не костыльный метод?
  • Вопрос задан
  • 152 просмотра
Подписаться 2 Средний Комментировать
Помогут разобраться в теме Все курсы
  • Нетология
    1C-программист: расширенный курс
    18 месяцев
    Далее
  • Академия Эдюсон
    Python-разработчик + ИИ
    9 месяцев
    Далее
  • ProductStar × РБК
    Профессия DevOps-инженер + ИИ
    5 месяцев
    Далее
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы