Refresh Token
- SPA - public client
- Refresh Token rotation for protect a replay attack
- Can Store Refresh Token In Local Storage or browser memory. Заданный долгий срок жизни Refresh token сокращается с помощью Refresh Token rotation. Обновление действительно только в течение времени жизни Access Token, который будет короткоживущим.
- иные варианты to keep a session going can be
- cookies
- silent authentication
- in iframe - legacy Google block
- Refresh Token rotation for protect a replay attack
- Confidential Clients Should Not Rotate Refresh Tokens
Security
Время жизни:
- Refresh Token
- Храним исключительно в httpOnly куке, если refresh token rotation не используется.
- If your application uses refresh token rotation, it can now store it in local storage or browser memory.
- Revoke tokens on logout
- Варианты атак