Наверняка каждый программист, работающий с OAuth 2.0, задумывался – зачем же нужны Refresh токены, неужели Access токенов недостаточно? 64 KB — Их должно хватать каждому!

Эта тема довольно активно дискутируется – вот и на Stackoverflow вопрос есть и на Хабре тоже обсуждается. Собственно, именно обсуждение на Хабре и заставило меня высказаться.

Все предложенные комментаторами и авторами мнения касаются безопасности двухтокенного подхода. Безусловно, так и должно быть, ведь безопасность – это главное для фреймворка авторизации/аутентификации! Но будем откровенны – во многих случаях использования подход с двумя токенами не дает никакого выигрыша в защищенности по сравнению с простым и тупым подходом с одним токеном. Или этого сразу не видно…

«Refresh токен можно хранить более защищенно!» — можно и нужно, хотя почти никто так не делает.
«Access token передается по сети чаще – и вероятность его утечки больше» — полноте, мы ведь всегда используем TLS, правда?
«Утечка Ассеss токена на так страшна как утечка Refresh токена» — да, и это тоже правда, именно поэтому в браузер Refresh токен и не выдается…

Есть много нюансов, есть много сценариев использования, при которых использование разных токенов становится полезным, просто видно их не сразу!

Но есть и еще один аргумент, который я почему-то ни разу не встречал – хотя он, на мой взгляд, полностью объясняет, зачем же нужен Refresh токен и почему нельзя, абсолютно, категорически нельзя обойтись только Access токеном.

Производительность.
Читать дальше →

Как известно, неугоняемых автомобилей не существует: каждые 10 секунд на планете похищается один автомобиль, и многие из них уже никогда не возвращаются в руки бывших владельцев. От кражи «железного коня» не застрахован ни один автомобилист, вот почему каждому автовладельцу стоит заранее позаботиться об этой проблеме и постараться максимально обезопасить своё дорогостоящее имущество от возможной пропажи. Предлагаем вашему вниманию 20 способов, помогающих уберечь автомобиль от угона. 1. Купить «правильный» автомобиль Самый […]

В последние десятилетия технологии коммуникации развивались так бурно, что большинству из нас трудно сейчас представить свою жизнь без мобильной связи и Интернета. Всемирная паутина – это огромная территория без границ и почти без правил. И как и в реальном мире, эту территорию «населяют» не только мирные обыватели, но и преступники всех мастей – от брачных […]

Многие сейчас стремятся обезопасить свой дом или квартиру, применяя различные системы безопасности, зачастую бюджетные и малоэффективные. Первым шагом на пути создания безопасного домовладения станет правильный выбор модели IP-камеры. На рынке представлено множество сетевых камер, но всех ли их можно рекомендовать к покупке и чем отличаются друг от друга все эти многочисленные модели? Для владельцев квартир […]

Вопреки многочисленным утечкам, свидетельствующих о том, что современные гаджеты вполне могут использоваться для слежки за их владельцами со стороны могущественных спецслужб, для приватности рядового пользователя большую опасность представляет любопытство людей из близкого окружения, в том числе коллег и супругов, которые имеют физический доступ к устройству. iAmNotified — приложение, которое поможет узнать, пользовался ли телефоном кто-то ...

The post iAmNotified — приложение для защиты iPhone от бытовой слежки appeared first on Goodsi.ru - Интересные товары со всего мира.