Коронавирус: опасная иллюзия смертности

Спасибо за работу с цифрами, а не с эмоциями.

Небезопасный cross-origin resource sharing

Статья дает неверный посыл — 'CORS со звездочкой' (которого так боятся начинающие) НЕ ПОЗВОЛЯЕТ проводить атаки с воровством авторизационной куки.

Для того чтобы передавались креденшиалз — требуется заголовок Access-Control-Allow-Credentials.

Так зачем же все таки нужны Refresh токены в OAuth?

>>>полноценная проверка валидности самодостаточного токена, кажется, в принципе невозможна без обращения в базу (как иначе убедиться, что его не отозвали?).

А никак…
Принимаем, что некоторое время после инвалидации (вызванной, например, сменой пароля) старые токены все еще работают.

Это — безусловно — ослабление безопасности — но не катастрофа.

Так зачем же все таки нужны Refresh токены в OAuth?

По спецификации это не обязательно.

Так зачем же все таки нужны Refresh токены в OAuth?

Мало радости с такой оптимизации. Если нужно обращаться к базе данных — значит нужно обращаться к базе. Это убивает всю идею.

Так зачем же все таки нужны Refresh токены в OAuth?

>>>Единственный минус такой системы — это невозможность мгновенно отозвать access токен. Но это как правило и не нужно, т.к. срок жизни такого токена крайне короткий (несколько минут).

Абсолютно верно. Интересно проверить, у кого из «больших дядь» (гугло-фейсбуков) возможно мгновенно отозвать (инвалидировать) access токен.

Есть ли вообще такие?

Так зачем же все таки нужны Refresh токены в OAuth?

>>>Есть простой способ инвалидировать токены, не храня их в базе данных. Зашиваем в токен время выдачи,

Да, но ведь это и есть self-contained токен. Так он и работает. В базу обращаться не надо — но и инвалидировать такой токен нельзя.

Так что при смене пароля/блокировке пользователя — старый self-contained accesss токен еще будет рабочим некоторое время.