Токен refre sh остается в силе, даже если он больше не хранится в базе данных? - PullRequest
0 голосов
/ 16 января 2020

Позволяет положить ситуацию.

  • Пользователь входит в систему, он получает токен refre sh и токен доступа
  • Срок действия токена истекает, пользователь получает новый по обновляется, и токен refre sh в базе данных, назначенной пользователю, перезаписывается новым.
  • Старый токен refre sh теперь не сохраняется в базе данных, но все еще действует? Поскольку срок действия истекает через 7 дней.

Если злоумышленнику удалось получить доступ к этому флеш-токену, сможет ли он по-прежнему генерировать новые токены доступа, проверив его с помощью refre sh? Я полагаю, ему все равно нужно получить секрет для этого.

Является ли решение, позволяющее избежать этого, просто проверять, назначен ли маркер обновления пользователю в базе данных во время процесса обновления?

...