Я много гуглил о том, как защитить refresh_token от хакера, потому что он будет храниться где-то в браузере local-storage / cookie, поэтому хакер может легко украсть эти токены, и я не смог найтиправильный ответ, поэтому я пришел сюда.
Я понимаю, что срок действия access_token истечет через меньшее время, и мы должны использовать refresh_token, чтобы получить новый access_token.Но если хакеры украдут средства refresh_token, он может оставаться в качестве пользователя для входа в систему в течение длительного времени, верно?
Некоторые люди говорят, что вы можете защитить его, используя client_id и client_secret, нохакер собирается получить доступ к конечной точке API, которая имеет client_id и client_secret.Итак, еще раз, хакер может легко получить новый access_token.
Так что я не нахожу способа защитить хакера от получения нового access_token.
Может ли кто-нибудь помочь мне здесь,о том, как защитить хакера от получения доступа к токену обновления из браузера local-storage / cookie?