Feature #10559
otevřený
Refresh token
0%
Popis
Zadání
SPADe má připraven endpoint (GET REQUEST) na refresh tokenu. Token musí být v hlavičcce requestu.
Scénář:
1) Uživatel dá login >> pošlou se mu dva tokeny, jak to někteří dělají standardně. První bude mít menší životnost, třeba 10 - 15 minut. Druhý bude mít delší a bude na nazývat refresh token. Refresh token s delší životností se používá v hlavičce s custom klíčem proto, aby nedošlo k aplikační chybě, že bychom se snažili rozparsovat expirovaný token.
2) První token s menší životností se bude používat při každém requestu na jakékoli ostatní endpointy.
3) uživateli přijde 4XX s tím, že nemá platný token
4) uživatel pošle get request na SPADe pro obnovení tokenu. Pošle get request i s refresh tokenem, který by měl mít delší platnost
5) Auth vygeneruje znovu dva tokeny, které pošle zpět klientovi. Nově vygenerovaný bude mít prodlouženou platnost relace, například na 3 hodiny. Refresh token bude mít zpravidla vždy delší životnost, aby bylo možné si zažádat o další refresh
pozn.: oba dva tokeny jsou identické krom času expirace, dle návodů na internetu je to standardní využití tokenů
6) nově přijatý token z refreshu (primární) se přenastaví a bude se používat znovu pro auth operace
nutno prodiskutovat: budeme chtít refresh provolat pouze při prvním expirování toho prvního tokenu při přihlášení? To znamená ten, který bude mít pouze 5 - 15 minut a pak se uživatel bude muset ze security reasons znovu přihlásit po vypršení i refreshovaného tokenu, nebo ten refresh budeme chtít dělat pravidelně při každé expiraci primárního tokenu?
Řešení
Aktualizováno uživatelem Petr Urban před