Я разрабатываю приложение, которое подключается к серверу для входа и обмена данными и информацией. * * * * * * * * * * * * * * * *
* * * * * * * * * * * *1004* * * * * * * * * * * * *1004* * * * * * * * * * * * *1004* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Сейчас теперь проблема заключается только в том, что если кто-то сможет взять его ток, ему будет предоставлен полный доступ к данным учетной записи.
Я чувствую, что, выдав токену срок действия, я не совсем решаю проблему. Поэтому, чтобы попытаться решить эту проблему, я рассмотрел следующие решения:
Посмотрите, остается ли местоположение ip примерно таким же. Минусы: если пользователь меняет местоположение, он не работает и слишком неточен;
Сопряжение токена с устройством и требует проверки электронной почты для изменения / добавления нового устройства (например, Steam делает). Минусы: не может сгенерировать идентификатор на стороне сервера из-за недостатка доступных данных, и ему нужно было бы хранить / генерировать идентификатор client-sade, который, как я чувствую, оказался бы в той же ситуации, что и сейчас;
Это просто дикая погоня goose, и JWT будет достаточно? Есть ли лучший способ хранить токен и / или использовать его, чтобы его было сложнее получить? или есть более разумный способ сделать это, который я не рассмотрел?