Вопросы насчет работы refresh token JWT?

Question

askar98 @askar98

Вопросы насчет работы refresh token JWT?

Всем привет! Сейчас работаю над security и появились несколько вопросов про refresh token для JWT. Я реализовал так
1: При входе юзер получает access token в виде json и каждый раз передает их в header,а рефреш токен храню в http-only cookie.
2: Есть еще маппинг на путь /refreshtoken который обновляет оба токена.

Вопрос:Зачем мне рефреш токен хранить в куки если я так же с access токеном могу обновить обращаясь к /refreshtoken,или при рефреш мне нужно проверять куки?

Вопрос задан более трёх лет назад
243 просмотра

Комментировать

Подписаться 3 Средний Комментировать

Помогут разобраться в теме Все курсы

Нетология

Java-разработчик с нуля

12 месяцев

Далее
Академия Эдюсон

Java-разработчик: тариф Базовый

8 месяцев

Далее
ProductStar × РБК

Профессия: Java-разработчик + ИИ

9 месяцев

Далее

Решения вопроса 1

4 комментария

askar98 @askar98 Автор вопроса

А там разве безопасно хранить это все?

Написано более трёх лет назад
Иван Шумов @inoise

askar98, ну как бы все что хранится на клиенте имеет одинаковую безопасность. А лишние куки передаются в заголовках по сети. Если это не https то пиши пропало). Есть еще Session Storage, кстати

Написано более трёх лет назад
askar98 @askar98 Автор вопроса

Я просто не понял работу рефреш токена,можно же access token на час поставить и потом обновлять,нужен ли refresh?)

Написано более трёх лет назад
Иван Шумов @inoise

askar98, можно. Абсолютно ничего не мешает кроме того что это разные циклы жизни, а refresh быстрее и дешевле.

Написано более трёх лет назад