Czy możecie mi wytlumaczyc jak działa refresh token, czy dobrze rozumiem?
W trakcjie autentykacji są pobierane przez klienta dwa tokeny podstawowy i refresh?
Klient je zachowuje i w przypadku kiedy głowny token wygaśnie wysyła token refresh?
Serwer porównuje token refresh i jak jest poprawny to generuje znów główny token?
Czy te dwa tokeny są przechowywane w BD ?
Nie wiem co z tego napisałem jest dobrze a co nie? I czy o czymś zapomniałem ?
Tak jak mówisz, access token moze wygasnac i wtedy uzywasz refresh token by odnowic acccess. dlatego refresh token musi byc przechcoywaney i zabezpieczony bo inaczej ktos moze miec nieskonczony dostep
@masterc: Jak najlepiej zabezpeiczyć przechowywanie refresh tokena ? Przechowuje go po stronie klienta i serwera ?
Najlepiej przechowywac refresh token po stronie serwera a acces po stronie klienta. obecnie stosuje sie do refresh token identyfikacje urzadzenia DeviceID i jesli ktos by mial taki token ale wysle zapytanie ze swojego urzadzenia to dostanie odmowe.Czasem widzisz po logowaniu ze masz info w stylu : widze ze logujesz sie z nowego urzadzenia, potwierdz czy to ty i np kod SMS na twoj zdefiniowany numer. wtedy bez dostepu do telefonu nikt nie zrobi nic. Cos w tym stylu