https://habr.com/ru/users/crocode/comments/ ru editor@habr.com habr.com Sun, 05 Apr 2026 07:46:38 GMT https://habr.com/ru/ https://habrastorage.org/webt/ym/el/wk/ymelwk3zy1gawz4nkejl_-ammtc.png https://habr.com/ru/articles/494896/#comment_21457462 https://habr.com/ru/articles/494896/#comment_21457462 Fri, 03 Apr 2020 18:16:08 GMT https://habr.com/ru/companies/owasp/articles/337146/#comment_10400422 https://habr.com/ru/companies/owasp/articles/337146/#comment_10400422
Для того чтобы передавались креденшиалз — требуется заголовок Access-Control-Allow-Credentials.]]> Tue, 05 Sep 2017 18:52:31 GMT https://habr.com/ru/articles/327702/#comment_10200728 https://habr.com/ru/articles/327702/#comment_10200728
А никак…
Принимаем, что некоторое время после инвалидации (вызванной, например, сменой пароля) старые токены все еще работают.

Это — безусловно — ослабление безопасности — но не катастрофа.]]> Tue, 02 May 2017 21:35:40 GMT https://habr.com/ru/articles/327702/#comment_10200614 https://habr.com/ru/articles/327702/#comment_10200614 Tue, 02 May 2017 18:00:58 GMT https://habr.com/ru/articles/327702/#comment_10200608 https://habr.com/ru/articles/327702/#comment_10200608 ]]> Tue, 02 May 2017 17:58:06 GMT https://habr.com/ru/articles/327702/#comment_10200328 https://habr.com/ru/articles/327702/#comment_10200328 >>>Единственный минус такой системы — это невозможность мгновенно отозвать access токен. Но это как правило и не нужно, т.к. срок жизни такого токена крайне короткий (несколько минут).

Абсолютно верно. Интересно проверить, у кого из «больших дядь» (гугло-фейсбуков) возможно мгновенно отозвать (инвалидировать) access токен.

Есть ли вообще такие?]]> Tue, 02 May 2017 14:05:58 GMT https://habr.com/ru/articles/327702/#comment_10199516 https://habr.com/ru/articles/327702/#comment_10199516 >>>Есть простой способ инвалидировать токены, не храня их в базе данных. Зашиваем в токен время выдачи,

Да, но ведь это и есть self-contained токен. Так он и работает. В базу обращаться не надо — но и инвалидировать такой токен нельзя.

Так что при смене пароля/блокировке пользователя — старый self-contained accesss токен еще будет рабочим некоторое время.]]> Tue, 02 May 2017 08:57:30 GMT