Обновить

Комментарии 1

Фронтенд получает только сессионную cookie (HttpOnly, Secure, SameSite) для идентификации текущей сессии.

Сразу два вопроса:

  1. А зачем в этой истории вообще токены?

  2. Как защищать сессионную куку?

В таких случаях сервер должен применить политику burn the family: инвалидировать все токены, принадлежащие этой семье (все refresh-токены, порождённые одной сессией), и принудительно разлогинить пользователя.

Как предлагагается бороться с ситуацией, когда несколько вкладок одновременно пытаются ротировать один и тот же токен? И как бороться с ситуацией, когда браузер и SSR-бекенд одновременно пытаются ротировать токен?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации