Почему refresh token должен жить дольше, чем access?

Рейтинг: 0Ответов: 1Опубликовано: 09.03.2023

Почив про JWT я узнал, что access токен многоразовый, но короткоживущий. Используется для получения доступа к ресурсам. Сервер проверяет этот токен и в соответствии с результатом либо позволяет нам получить доступ, либо нет.

Refresh токен же наоборот, одноразовый, но долгоживущий. Используется для получения новой пары access + refresh в тот момент, когда access протухает.

Соответственно вопрос вот какой: в чём смысл делать refresh токен долгоживущим, если по факту он будет жить столько, сколько живёт access? Моё предположение, что это сделано для того, чтобы спустя условно 10 дней пользователь также мог воспользоваться refresh токеном и получить новую пару refresh + access. Тогда созревает другое вопрос, а получение этой новый пары не собьёт аутентификацию? Не придётся ли пользователю вновь логиниться в приложении?

jwt token auth authenticationtoken
Источник: Stack Overflow на русском

Ответы

▲ 0

Почему получение новой пары может сбить аутентификацию?

  • Заходишь на страничку
  • делаешь запрос
  • получаешь 401, т.к. токен истек
  • рефрешишь токен
  • повторяешь запрос с новым access токеном
  • успех

Ничего не сбилось.