Как токен берешь?

Чтобы токен пользователя взять - нужно передавать логин и пароль

И в чем соль?

храни в sp короче)

Я только вошел

а хранить токен в sharedpref уже не модно?)

так токен можно сделать с временным действием)

и через время новый запрашивать)

и всё шифровать) тип секьюрити

но с двумя серваками это слегка перебор мне кажется)

Погоди, есть 2 сервера, один бекенд, другой для выдачи токенов

На сервер выдачи токенов отправляется логин и пароль разок

Получаешь токен по логину и паролю

Потом что отправлять на него, чтобы тот же токен получить?

Как серверу выдачи и хранения токенов понять, какой токен выдать приложению?

можно ведь использовать hash сумму по файлам и при взломе app будет ведь нарушение целостности какого из файлов и -> не возможность правильно распознать токен на сервере, шиш что получит телефон) возвращает 401 первую и логин скрин приветушки)

Как серверу выдачи и хранения токенов понять, какой токен выдать приложению?

на log in сервер присылать ответ с токеном должен)

Какая разница что передавать, токен или ad id? Если и то и то в разных реализациях будут по сути работать как одно и тоже

Можно через пуш передавать доп инфу;)

Если ты по ad id определаешь что это за залогиненый пользователь, то это тот же "access token"

поднял холивар) что поделать)

Это все бессмысленно) Либо не работать с авторизацией вообще - либо хранить access token на девайсе.

Главное чтобы токены имели короткий срок жизни

Главное чтобы токены имели короткий срок жизни

это уже не только от тебя зависит)

а от сервера тоже) как бэк решит)

нафиг протухающие токены

А я как раз бекендщик

нафиг протухающие токены

А почему нет?

Для юзера никакой разницы - в закромах лежит рефреш токен, который живет лишь раз

В итоге по сети палится только ацесс токен, который если и перехватят - стухнет через час

ну тогда никакой разницы один вечный токен или наркомания с рефрешем

Почему?

Вечный токен стырил и все, профит

перехватят обычный токен — перехватят и рефреш

Как?

Рефреш не палят по сети

Рефреш не палят по сети

О_о???

да

Ну типа accesstoken можно перехватить и он протухнет со временем. А рефреш токен не перехватить пока не будет запрос на рефреш. Только с апки вынимать

Ток 1 раз высылают для получения нового ацесс токена

И после рефреш токен тухнет

Ток 1 раз высылают для получения нового ацесс токена

ну вот тогда и перехватят

для получения нового аксеса обычно требуется рефреш токен

Рефреш не палят по сети

любые пакеты можно перехватывать же) не важно что за запрос ты делаешь)

где хранить будешь?

Ну, он к этому времени будет тухлым

так могут просто запросы перехватывать)

Ну, он к этому времени будет тухлым

перехватывают MITMом же, себе заберут токен, а клиент не получит

Ну, надо смотреть отзывный ли рефреш токен. Если был компромат - обновляешь все аксес на бэке

где хранить будешь?

А какая разница где хранить?

А какая разница где хранить?

дак вот именно, кто захочет спиздить тот спиздит где бы не хранил

Ну да

На хранении все лопается

с хранением вообще никаких проблем

Ага, поэтому все эти заморочки с псевдосекьюрностью - пустая трата времени. Достаточно обчного access плюс refresh. Лучше уже не защитить

Кому нужно- тот утащит токены. Остальное, проделки безопасников по минимизации ущерба

о, заговорили о терморектальном криптоанализе

Кому нужно- тот утащит токены. Остальное, проделки безопасников по минимизации ущерба

И пунктик в договоре, что юзер сам несет ответственность за компрометацию таких данных на своем устройстве

вдруг пригодится ) https://stackoverflow.com/a/31398703/2812404

Ну, как бы безопасники хорошее дело делают. Чего на них бучу гнать?

мне кажется это одни и те же люди )

зачем вообще хранить токен?? залогинился, получил токен, держишь его в памяти, с ним ходишь на сервер

а че я на эмуле немогу в календарик зайти? вроде на той неделе заходил и не требовался гугле-аккаунт

Перезашел - и логинься снова

а щас требуется, что я ножал опять не так

Очень дружелюбно

Перезашел - и логинься снова

+

зачем вообще хранить токен?? залогинился, получил токен, держишь его в памяти, с ним ходишь на сервер

рефреш и придуман чтобы не логиниться 100500 раз

бля, а как?? нах тогда вообще авторизация?

Зачем вообще авторизация?

Вводите данные при любом действии

чтобы 1 раз залогиниться, получить рефреш токен (который не является кредами для входа) и юзать его

креды для входа - логин пароль, палятся только 1 раз при логине

ну это oauth, дратути

зачем зачем - читайте в доках )

Эм, а чем рефреш не кред? Если по нему можно получить новый access?

Эм, а чем рефреш не кред? Если по нему можно получить новый access?

Он тоже истекает

рефреш может быть для разных ресурсов разный

плюс он тухнет