«Изначально полицейские получили информацию о том, что в этом доме работает нелегальный колл-центр» — наверное ОПСОС тупо пожаловался после бешеной нагрузки на базовую станцию
Ну вот, я это и имел ввиду. Если Аксесс-токен обновлять строго через редирект, то на клиенте не будет храниться ничего, поэтому нет смысла его защищать
Думаю, в случае с RefreshToken предлагается более универсальный подход, нежели всякие Session Cookie и редиректы в браузерах
вы отвечаете:
Не универсальный
Весь смысл включения рефреш токена — доступ к ресурсу. когда пользователь не имеет активной сессии.
То есть, если есть сессия, то пользоваться Рефреш-токеном для получения Аксес-токена — моветон? Зачем мне реализовывать в клиенте 2 способа, когда у меня есть Рефреш?
Ну я бы не сказал, что этот способ прямо разительно отличается. Технически, вы просто заменили RefreshToken на Session cookie. Ну и, далеко не все клиенты в браузере.
Чтобы этих лучших спецов не получили конкуренты
$ JAVA_HOME=/java/home ./run.sh
Ну что тут сказать… Отличный цугцванг со стороны этой самой Zhubai Seine Group
В целом я согласен, что через редирект безопаснее, но все же:
Ну вот, я это и имел ввиду. Если Аксесс-токен обновлять строго через редирект, то на клиенте не будет храниться ничего, поэтому нет смысла его защищать
Ну я в какой-то момент так предположил, но теперь что-то засомневался.
в случае без рефреш-токена, как этот вопрос решается?
Тут я согласен, редирект однозначно это решает.
Я если честно, вижу только 1 неприятный момент — это утечка Рефреш-токена. Остальное абстрагируется же библиотекой?
Если честно, я зашел в тупик.
я пишу
вы отвечаете:
То есть, если есть сессия, то пользоваться Рефреш-токеном для получения Аксес-токена — моветон? Зачем мне реализовывать в клиенте 2 способа, когда у меня есть Рефреш?
Я не могу никак понять, зачем вы все приплетаете сессии и браузеры? OAuth и OpenID Connect не ограничен ими.
А если нет возможности implicit flow? Почему вы прицепились к браузеру?
Вот именно, что универсальный, так как не привязан вообще к сессиям и браузерам
Имеете ввиду какие-то технические ограничения? Можно примеры?
А где в OAuth 2.0 написано про легаси?
Как по мне, так авторизация в браузере как раз есть частный случай такого гранта, а resource owner просто доверяет ему хранение паролей и куков.
Также некоторые AS позволяют без браузера при этом защищают через MFA например ну или через всякие Apple Social.
Я понимаю, что вы имеете ввиду всякие Фэйсбуки и Твиттеры и их политики, но OAuth не только под них же писан в конце-концов.
Странный аргумент. Хотите сказать, что Resource Owner Password Credentials Grant уже не является частью OAuth?
Позвольте не согласиться, вы переложили ответственность на веб-браузер.
Думаю, в случае с RefreshToken предлагается более универсальный подход, нежели всякие Session Cookie и редиректы в браузерах
Ну я бы не сказал, что этот способ прямо разительно отличается. Технически, вы просто заменили RefreshToken на Session cookie. Ну и, далеко не все клиенты в браузере.
не совсем понял, без рефреша как-то продлевают сессию?