Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Was bringen refresh-token
#1
Also: den Sinn hinter nem access-token verstehe ich, man schickt ihm dem client zurück und er kann z.B. in den nächsten 5 Minuten Anfragen an bestimmte routes schicken. Dann gibt es noch refresh-token, mit denen man immer einen neuen access-token "beantragt", wenn z.B. die 5 Minuten um sind. Damit möchte man ja falls der access-token geklaut wird vorbeugen dass der angreifer nicht lange in das System kann. Aber kann sich der Angreifer nicht einfach gleich den refresh-token holen um dann immer wieder (z.B. ein jahr lang) einen neuen access-token beantragen zu können?
Irgendwie schließt sich mit der Sinn der ganzen Geschichte nicht so.

Und warum überhaupt refresh-token? Bei einen Session-basierten authentifizierung, kann man ja auch einfach den session key aus dem cookie klauen und dann sich von überall einloggen, oder? Und der ist ja nicht nur auf 5 Minuten beschränkt
Zitieren
#2
Das kann ich dir auch nicht richtig erklären.
Kommt vielleicht auch darauf an was du genau vorhast.
Es gibt ja auch Token die in einer API URL stehen.
Die könnte jeder klauen, aber meistens laufen die APIs nur auf der einen Webseite.

Ich habe mal ein Link gefunden , vielleicht hilf dir das, weil das mit den Token Kram ist auch nicht mein Fachgebiet
https://auth0.com/docs/tokens/refresh-tokens
und
https://stackoverflow.com/questions/3898...resh-token
Zitieren


[-]
Schnellantwort
Nachricht
Geben Sie hier Ihre Antwort zum Beitrag ein.


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste