Я реализовал поток токенов JWT refre sh в узле express JS, используя пакет jsonwebtoken следующим образом
- В то время как при входе пользователя в систему было создано два токена -
Токен доступа - используется для доступа к API. Срок действия которого
Refre sh token - используется для создания нового токена доступа.
Полученный токен истек. Создан новый токен доступа с использованием refre sh токена. Теперь можно получить доступ к API с помощью вновь сгенерированного токена доступа.
Но в этом случае предположим, что злоумышленник украл refre sh маркер. кто-то может использовать его для создания множества токенов доступа.
Как этого избежать, чтобы сделать API более безопасным?