Pytanie z pogranicza #frontend i #backend. Otóż mam api i chcę do tego dorobić front. Autentykację oparłem na JWT. Token pobieram interaktywnie, tj. user podaje email i hasło na stronie logowania. Ważność tokena ustawiam na 30 minut. Interesuje mnie teraz jak bezpiecznie ale i jednocześnie nieuciążliwie dla usera zapewnić ponowne logowanie/odświeżanie tokena. Myślałem, żeby użyć refresh tokena i pod spodem w momencie pytania o coś api - jeśli okaże się że token wygasł - odświeżyć go po prostu bez wiedzy użytkownika. Jednak czytałem, że nie jest to polecana metoda dla aplikacji webowych korzystających z JS (frontend piszę w #react) bo otwiera drzwi potencjalnym atakom, m. in. XSRF. Z drugiej strony jeśli nie odświeżanie to co? Przecież nie będę kazał userowi co 30 min logować się ponownie a nie chcę też wiecznie żyjących tokenów.
Do tej pory zajmowałem się głownie backendem i to moje pierwsze doświadczenia z reactem (do tej pory głównie ASP.NET MVC + Razor i JQuery) - chciałbym wiedzieć jak robi się to w poważnych aplikacjach w architekturze Frontend + API.
Do tej pory zajmowałem się głownie backendem i to moje pierwsze doświadczenia z reactem (do tej pory głównie ASP.NET MVC + Razor i JQuery) - chciałbym wiedzieć jak robi się to w poważnych aplikacjach w architekturze Frontend + API.
#programowanie #aspnet
refresh token może mieć ograniczenie na ilość odświeżeń
ale możesz też zrobić tak jak pisze @passage
co takiego?