Aetae, печально! Я думал при помощи него буду получать access, чтобы данные тягать. В инете просто нашел, что если не знаем access, но знаем refresh, то можно получить access. В итоге нифига :)
А я кинул этот refresh на JWT и мне показал он время вообще 1 секунду :)
Непонятно, зачем он тогда его возвращает. Получается, нельзя получить access зная refresh?
Да, в курсе. Я вот проверил время refresh токена и там по сути даже секунды нет :д
Я вот просто зашел на сайт и в запросе увидел адрес /refresh. Там передается refresh токен, скорее всего старый, в ответ получаем access и refresh и я этот refresh скопировал, подождал пока кончится сессия access и в итоге не смог получить новый :)
AUser0, я же вам выше пример приложил того, что может быть на клиенте. Представим, у нас генерация на клиенте идет и какой-то пользователь решил сделать себе токен «123» а не 16-ти битный. Другой пользователь что сделает? Возьмет откроет localstorage и просто укажет «123», ради интереса и тут у него оказывается доступ к другому аккаунту.
В случае генерации на стороне сервера, пользователь не сможет указать собственный токен.
Если генерировать на стороне клиента, его нужно подписывать. А-ля, использовать сквозное шифрование.
То, что я ему сгенерирую 64 битный токен на клиенте и отдам его серверу, ему ничего не помешает этот формат поменять. Это клиент
AUser0, разница есть. На клиенте если я буду генерировать токен и отдавать серверу, то смогу его подделать, а если я буду генерировать его на сервере и отдавать клиенту, подделать его уже невозможно :)
AUser0, у меня только вариант, что генерировать айди нужно на сервере с подписью и передавать клиенту и таким образом даже подделать его будет фактически сложно.
Хотя стоп! Если мы генерируем айди на сервере, то подписывать его не нужно получатся. Просто сверяем айди если он даже подделан и меняем в случае чего
setupx, у меня вот один вариант есть как это примерно можно реализовать. После покупки услуги выдает ключ и этот ключ пользователь активирует и сам ключ храним уже. Но все равно, а вдруг у нас просто данные хранятся без каких-либо покупок