Как обращаться с refresh token?

Question

[Джавараст Скриптович]

Прежде, чем удалять теги, "эксперт", читай вопрос, хотя бы..

Предварительно уже гуглил, если что и ничего внятного не нашел..
Вопросы:

1. Что помещать в этот токен?
   
2. Правильно ли, если я буду отправлять его клиенту в куки с флагом HTTP-Only?
   
3. Как хранить на сервере? (БД: PostgreSQL)
   
   • Создавать отдельную таблцу или могу сразу в строке юзера хранить токен?
     
   • Какой тип поля нужен?
     
   
   
   

Answer 1

[deepblack]

Тут гляньте (Про токены, JSON Web Tokens (JWT), аутентификацию и авторизацию. Token-Based Authentication)

В коменты советую заглянуть, особенно сюда

Comments

[Джавараст Скриптович]

Статью-то читал, но не думал, что комментарии будут полезны)
Возник вопрос, а зачем хранить ref-tokens на серваке, если мы можем прямо в него пихнуть срок годности, подделать без ключа его нельзя будет, соответсвенно, мы можем ему доверять?
И в итоге, сервак разгружен

[deepblack]

Джавараст Скриптович, там-же

Рефреш на сервере хранится для учета доступа и инвалидации краденых токенов. Таким образом сервер наверняка знает о клиентах которым стоит доверять(кому позволено авторизоваться). Если не хранить рефреш токен в БД то велика вероятность того что токены будут бесконтрольно гулять по рукам злоумышленников. Для отслеживания которых нам прийдется заводить черный список и периодически чистить его от просроченных. В место этого мы храним лимитированный список белых токенов для каждого юзера отдельно и в случае кражи у нас уже есть механизм противодействия(описано в заметке).

Что именно хранить/не хранить в бд вы конечно можете решить сами

[jastioknow]

deepblack, Скопировал с гугла.....

[jastioknow]

Джавараст Скриптович, Сохранять в бд рефреш токен надо для того, чтобы токен был одноразовым. Когда ты используешь рефреш токен то тебе надо его перезаписать новым токеном, вот тебе механизм одноразового токена. Токен который лежит в базе данных говорит о том, что его не использовали и он актуальный.

[deepblack]

jastioknow, привел ссылку на источник, вставил цитату,
пришел jastioknow говорит

Скопировал с гугла.....

очень умнО.

Кстати, когда Github стал гуглом?