Как распознать refresh token в asp.net core?

Question

AspMaster @AspMaster

Как распознать refresh token в asp.net core?

Для авторизацию использую пару access токен и refresh. Возникает такая ситуация, что пользователь может вместо access отправлять refresh токен в обычных обращениях к АПИ, что опасно, так как жизнь refresh токена сильно больше. Как не пропускать refresh токен в обычные методы? Была идея запихать в payload является ли он refresh или нет, но должен же быть способ лучше?

Вопрос задан более трёх лет назад
379 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Помогут разобраться в теме Все курсы

OTUS

C# ASP.NET Core разработчик

6 месяцев

Далее
OTUS

C# Developer

12 месяцев

Далее

Пригласить эксперта

Ответы на вопрос 1

5 комментариев

AspMaster @AspMaster Автор вопроса

Перечитайте вопрос, пожалуйста!

Написано более трёх лет назад
Вячеслав Золотов @SZolotov

AspMaster
<Возникает такая ситуация, что пользователь может вместо access отправлять refresh токен в обычных обращениях к АПИ, что опасно, так как жизнь refresh токена сильно больше. Как не пропускать refresh токен в обычные методы?

Что я пропустил? Вам шлют невалидные данные, вы на это не реагируете

Написано более трёх лет назад
AspMaster @AspMaster Автор вопроса

Вячеслав Золотов, я отправляю пользователю два токена - один access, второй refresh. Они оба валидны, но служат для разных целей.

Написано более трёх лет назад
Вячеслав Золотов @SZolotov

AspMaster, правильно, но какого у вас refresh token принимается как access token?

Написано более трёх лет назад
AspMaster @AspMaster Автор вопроса

Вячеслав Золотов, ну вот этого я и хочу избежать. Они же оба генерируются как обычные jwt, включают claims пользователя и тд.

Написано более трёх лет назад