Twitt
@Twitt

Правильно ли я понимаю, как работает refresh token?

Я как-то давно реализовывал OAuth 2.0 в проекте на бэке, выглядело примерно так:
1) Фронт стучится в эндпоинт авторизации
2) Отдаем access_token, refresh_token, scope, expire_at
3) Пользуется этими токенами для того чтобы стучаться в существующие эндпоинты

И всё, моя задача была выполнена. Сейчас уже мне надо будет стучаться с мобильного приложения в моё апи, которое будет отдавать аксес токен, который будет жить 1 час, и вот я не совсем понимаю как это работает:
Пользователь ходит по моему приложению (понятное дело, по разным эндпоинтам, к которым можно достучаться только с аксес токеном), проходит 1 час, делается запрос, отдается 400 Bad Request (токен не активен), и сразу же в это время делается запрос рефреш токеном, чтобы сгенерировать новую пару? То есть, делается 1 запрос - он не проходит ибо токен устарел, а 2 запрос уже возвращает новую пару, и 3 запрос делается с только что сгенерированным access token?
Не совсем понимаю, что происходит, когда проходит 1 час, и пользователь делает запрос со старым токеном?
  • Вопрос задан
  • 85 просмотров
Решения вопроса 1
Nikolino
@Nikolino
По истечению часа, на запрос со старым access token будут приходить отлупы в виде "access token is expired", на клиентах обычно ловят этот ответ и шлют запрос с refresh token, чтобы получить новую пару и сразу же отправляют повторный запрос на тот же endpoint с уже новым access token. Поэтому для пользователя приложения это может происходить незаметно.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы