AppSec

Access Token Lifetime

Short-lived access tokens and long-lived refresh tokens

Используем, когда:

  • Хотим использовать self-encoded access tokens (JWT, например)

  • Хотим ограничить риск утекших access-токенов

  • Мы собираемся дать разработчикам SDK, чтобы они сами реализовывали логику обновления токена

Short-lived access tokens and no refresh tokens

Используем, когда:

  • Хотим быть наиболее защищены от риска утекших access-токенов

  • Хотим вынудить пользователя занть каждый раз, когда 3th-party сервисы получают доступ к их данным

  • Не хотим, чтобы 3th-party приложения имели оффлайн доступ к данным пользователя

Non-expiring access tokens

Используем, когда:

  • Мы имеем механизм произвольного отзыва access-токенов

  • Мы не имеем большого риска при утечке токена

  • Мы хотим дать разработчикам простой механизм аутентификации

  • Мы хотим, чтобы 3th-party приложения имели оффлайн доступ к пользовательским данным

PreviousAccess Token ReponseNextRefreshing Access Tokens

Last updated