@Fluttercry

Oauth, как правильно реализовать refresh и access токены для юзера с множеством устройств?

Всем привет!
Понадобилось мне авторизовывать своих юзеров через oauth, идея была простая, сделать по типу описанного на хабре https://habrahabr.ru/company/Voximplant/blog/323160/ .
Злодей увел у юзера токены и не воспользовались рефрешем - юзер обновил токен, и злодея выкинуло.
Злодей увел у юзера токены и воспользовались рефрешем - юзер залогинился, и злодея сново выкинуло.
Но тут возникает проблема - что делать если юзер сидит с нескольких устройств? Когда он логинится со второго компа нельзя отличить, увели у него прошлую сессию, и он перелогинивается лишившись access токена, или хочет сохранить обе сессии.
Можно конечно при логине запрашивать еще и рефрэш по которому не получилось обновиться, но может есть принятый и не костыльный метод?
  • Вопрос задан
  • 141 просмотр
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы