Witam, próbuję wdrożyć do swojego projektu autoryzację za pomocą access token i refresh token. Pierwszy ma ustawiony expiration date na 5minut, jest zapisany w session storage i służy bezpośrednio autoryzacji, drugi 7dni, jest zapisany w local storage i służy do wygenerowania nowego access token jeśli ważność tego pierwszego wygaśnie. Zgodnie z sugestią ze stackoverflow refresh token przesyłam poprzez request body, przy każdym żądaniu do serwera wymagającym autoryzacji, natomiast access token w headerze jako bearer token. Problem pojawił się gdy potrzebowałem użyć żądania typu DELETE, gdyż ten nie powinien mieć request body a dane przesyłać poprzez URI params, lecz to z kolei chyba nie jest najlepszym pomysłem pod względem bezpieczeństwa.. Zatrzymałem się w tym miejscu i kompletnie nie wiem jak ruszyć dalej, z góry bardzo dziękuję za pomoc.
0
1
Ja to zaimplementowałem tak, że na froncie miałem wrapper na HttpClienta w Angularze, który w razie wystąpienia kodu 401 albo stwierdzenia przeterminowania access tokenu robił request do osobnego endpointu z refresh tokenem i stamtąd brał nowy access token, po czym ponawiał operację.