Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Was bringen refresh-token
#1
Also: den Sinn hinter nem access-token verstehe ich, man schickt ihm dem client zurück und er kann z.B. in den nächsten 5 Minuten Anfragen an bestimmte routes schicken. Dann gibt es noch refresh-token, mit denen man immer einen neuen access-token "beantragt", wenn z.B. die 5 Minuten um sind. Damit möchte man ja falls der access-token geklaut wird vorbeugen dass der angreifer nicht lange in das System kann. Aber kann sich der Angreifer nicht einfach gleich den refresh-token holen um dann immer wieder (z.B. ein jahr lang) einen neuen access-token beantragen zu können?
Irgendwie schließt sich mit der Sinn der ganzen Geschichte nicht so.

Und warum überhaupt refresh-token? Bei einen Session-basierten authentifizierung, kann man ja auch einfach den session key aus dem cookie klauen und dann sich von überall einloggen, oder? Und der ist ja nicht nur auf 5 Minuten beschränkt
Zitieren


Nachrichten in diesem Thema
Was bringen refresh-token - von bambusmensch - 22.08.2021, 18:22
RE: Was bringen refresh-token - von admin - 22.08.2021, 21:22
RE: Was bringen refresh-token - von admin - 08.10.2022, 20:47

Gehe zu:


Benutzer, die gerade dieses Thema anschauen:
1 Gast/Gäste