Какая верная стратегия обновления refresh_token'а для нескольких устройств?

Разбираюсь с JWT, в частности с refresh token'ом. Не получается продумать стратегию обновления refresh token'а на нескольких устройствах. Если хранить в базе данных токен и обновлять его каждый раз по требованию клиента, то на устройствах необходимо будет постоянно проходить процесс аутентификации. С другой стороны, если токен не обновлять, то при его краже или наступлении expires_in он станет невалидным, что повлечёт за собой процесс аутентификации. Подскажите верную стратегию обновления refresh token'a используя JWT для нескольких устройств. Заранее спасибо!
  • Вопрос задан
  • 353 просмотра
Решения вопроса 1
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
В нагрузке токена хранить идентификатор пользователя и идентификатор устройства. При получении запроса на обновление, проверять токен на валидность, доставать из него идентификаторы, искать в базе запись для этих идентификаторов и сравнивать полученный из базы токен с токеном от пользователя.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
PeoplePass Москва
от 100 000 до 200 000 руб.
PeoplePass Москва
от 150 000 до 250 000 руб.
PeoplePass Москва
от 100 000 до 250 000 руб.