@kotcich
То есть если пользователь оставил компьютер и ушел на обед к примеру, можно же спокойно взять и скопировать этот зашифрованный токен, да и сам пользователь может это сделать и разослать его кому угодно. Ведь если отправляя этот набор символов он смог получить доступ, значит и другие смогут.
Решения вопроса 0
Ответы на вопрос 3
@pro100chel
Если юзверь идет на обед и не лочит комп — тут никакие системы защиты уже не спасут.
Если у тебя рефреш токен есть то хакер обменяет пару токенов и токены юзера станут заюзанными. Юзер использованный токен попытается заюзать если зайдет на сайт. Это как раз сигнал того что токены спи#дили и нужно сбросить все сессии этого пользователя.
@DevMan
и почему/зачем циклиться на токенах? ведь можно использовать более другие техники и получить все данные; и пароли, и секретные вопросы.
токен – это компромисс между секурностью и удобством. и, обычно, он привязан к конкретной сессии.
@Griboks
Иными словами, вы пришли в банк, показали паспорт, и больше у вас не просят паспорт до ухода. Если кто-то украдёт ваш паспорт или вы придёте в другой день, то нужно будет снова предъявить документ.
p.s.
Поэтому проблема не в том, что токен видно. Проблема в том, что сессию можно подделать.