Refresh Token
Зачем
При аутентификация по протоколу OAuth для обеспечения информационной безопасности.
Паттерны
- SPA - public client
- Refresh Token rotation for protect a Replay attack
- Заданный долгий срок жизни Refresh token сокращается с помощью Refresh Token rotation. Обновление действительно только в течение времени жизни Access Token, который будет короткоживущим.
- Can Store Refresh Token In Local Storage or browser memory
- иные варианты to keep a session going can be
- cookies
- silent authentication
- in iframe - legacy Google block
- Refresh Token rotation for protect a Replay attack
- Confidential Clients Should Not Rotate Refresh Tokens
Security
Время жизни:
- Refresh Token
- Храним исключительно в httpOnly куке, если refresh token rotation не используется.
- If your application uses refresh token rotation, it can now store it in local storage or browser memory
- Revoke tokens on logout