Позволяет положить ситуацию.
- Пользователь входит в систему, он получает токен refre sh и токен доступа
- Срок действия токена истекает, пользователь получает новый по обновляется, и токен refre sh в базе данных, назначенной пользователю, перезаписывается новым.
- Старый токен refre sh теперь не сохраняется в базе данных, но все еще действует? Поскольку срок действия истекает через 7 дней.
Если злоумышленнику удалось получить доступ к этому флеш-токену, сможет ли он по-прежнему генерировать новые токены доступа, проверив его с помощью refre sh? Я полагаю, ему все равно нужно получить секрет для этого.
Является ли решение, позволяющее избежать этого, просто проверять, назначен ли маркер обновления пользователю в базе данных во время процесса обновления?