Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

Porque não usar o mesmo token ao invés de criar uma novas string randômica

Referente ao curso Node.js: Refresh Tokens e confirmação de cadastro

por Rodrigo Padilha dos Santos
| 235.8k xp | 23 posts

Olá.

Entendi a estratégia de refresh token utilizando o token opaco, porém fiquei com uma dúvida, porque precisamos gerar esse novo token opaco (randomBytes)? Não poderia ser utilizado o mesmo token jwt para solicitar um novo? Ou seja, após gerar um token jwt este seria salvo na tabela de AllowRefreshTokens e quando o ele expirasse, na rota refreshToken receberíamos o mesmo token expirado para buscar o payload na tabela. Esta abordagem seria ruim ou errada?

2 respostas
solução!
por Sandro de Mattos de Lima
| 127.5k xp | 13 posts
Programador

Olá, Essa seria uma forma errada pois teríamos uma falha de segurança onde um atacante pode pegar um token expirado para solicitar um novo token válido. Outro problema seria que qualquer token expirado poderia criar novos tokens. No link abaixo explica melhor as falhas de segurança neste processo: Gerência de segurança

por Rodrigo Padilha dos Santos
| 235.8k xp | 23 posts

Perfeito! Obrigado pela resposta.