Как обращаться с refresh token?

Question

Джавараст Скриптович @M4mkin_pr0ger

Хачу пырфоманс

Как обращаться с refresh token?

Прежде, чем удалять теги, "эксперт", читай вопрос, хотя бы..

Предварительно уже гуглил, если что и ничего внятного не нашел..
Вопросы:

Что помещать в этот токен?
Правильно ли, если я буду отправлять его клиенту в куки с флагом HTTP-Only?
Как хранить на сервере? (БД: PostgreSQL)
- Создавать отдельную таблцу или могу сразу в строке юзера хранить токен?
- Какой тип поля нужен?

Вопрос задан более трёх лет назад
5208 просмотров

Комментировать

Подписаться 2 Простой Комментировать

Помогут разобраться в теме Все курсы

Яндекс Практикум

Бэкенд на Node.js для фронтенд-разработчиков

3 месяца

Далее
Skillbox

Node.js

2 месяца

Далее
Stepik

Microservices - паттерны и практика построения микросервисов

1 неделя

Далее

Решения вопроса 1

5 комментариев

Джавараст Скриптович @M4mkin_pr0ger Автор вопроса

Статью-то читал, но не думал, что комментарии будут полезны)
Возник вопрос, а зачем хранить ref-tokens на серваке, если мы можем прямо в него пихнуть срок годности, подделать без ключа его нельзя будет, соответсвенно, мы можем ему доверять?
И в итоге, сервак разгружен

Написано более трёх лет назад
deepblack @deepblack

Джавараст Скриптович, там-же
Рефреш на сервере хранится для учета доступа и инвалидации краденых токенов. Таким образом сервер наверняка знает о клиентах которым стоит доверять(кому позволено авторизоваться). Если не хранить рефреш токен в БД то велика вероятность того что токены будут бесконтрольно гулять по рукам злоумышленников. Для отслеживания которых нам прийдется заводить черный список и периодически чистить его от просроченных. В место этого мы храним лимитированный список белых токенов для каждого юзера отдельно и в случае кражи у нас уже есть механизм противодействия(описано в заметке).

Что именно хранить/не хранить в бд вы конечно можете решить сами

Написано более трёх лет назад
jastioknow @jastioknow

deepblack, Скопировал с гугла.....

Написано более года назад
jastioknow @jastioknow

Джавараст Скриптович, Сохранять в бд рефреш токен надо для того, чтобы токен был одноразовым. Когда ты используешь рефреш токен то тебе надо его перезаписать новым токеном, вот тебе механизм одноразового токена. Токен который лежит в базе данных говорит о том, что его не использовали и он актуальный.

Написано более года назад
deepblack @deepblack

jastioknow, привел ссылку на источник, вставил цитату,
пришел jastioknow говорит
Скопировал с гугла.....

очень умнО.

Кстати, когда Github стал гуглом?

Написано более года назад