REFRESH TOKEN DA FORMA CERTA

Показать описание

Neste vídeo iremos conhecer mais sobre o Refresh Token. Como usar, para que usar e quais os seus requisitos de segurança. Você aprenderá a forma mais adequada de implementar um refresh token!

Demo utilizada:

------------------------------------------------------------------------------------------
Realize seu cadastro e comece a estudar agora mesmo:

INSTAGRAM:

FACEBOOK:

LINKEDIN:

-------------------------------------------------------------------------------------------
Apresentador:

BRUNO BRITO

#refresh #token #jwt

Рекомендации по теме

Комментарии

Tem um problema nessa abordagem. O objetivo do refresh token é garantir a segurança de quando alguém fizer a renovação, o refresh token antigo deixa de funcionar automaticamente, por estar armazenado no banco de dados. Na forma que você explicou, caso alguém roube meu refresh token mesmo que antigo (ainda não expirado), essa pessoa poderia multiplicar os refresh tokens, quando que na abordagem original, no momento que eu fizer a primeira renovação, o refresh token anterior já deixa de funcionar.
No caso de meu refresh token for roubado antes de eu renovar, quando eu for tentar acessar um serviço vou ter erro na renovação, o que vai me fazer logar novamente. No login, o correto é que o refresh token da sessão anterior seja descartado e passe a valer o novo refresh token.

Mas isso tudo não invalida a qualidade do seu vídeo. Parabéns e siga em frente.

lucasguaru

Vídeo top.
Meu nível como Dev subiu bastante com cursos de vocês.

Xnoic

Tava com saudades mesmos, seu vídeos são sempre excelentes, e o visual do cenário ficou top. Parabéns!

fleal

No caso, ao usuario exemplo realizar login, voce entrega pra ele dois tokens, um access token e um refresh token, os dois gerados pelo jwt com payload de email? ai quando o access token expira, você verifica se existe um refresh token e valida ele, se tiver você gera outro access token e outro refresh token usando a mesma abordagem anterior e assim vai? é isso?

chrisaxxwelldev

Sendo que os dois (access e refresh) tem o mesmo TokenValidationParameters. Nesse caso se usar o access no lugar do refresh (ou ao contrário) irá funcionar né? porq seria um problema o usuário ficar fazendo a requisição com refreshtoken (que pode ter muitos dias, e até meses, de validade). Qual seria a forma mais correta de corrigir isso?

ellisonwilliam

mds como eu apanhei para aprender token e refresh token vc me ajudou muito professor thanks

Pedroloko

Que esse microfone ajude a ensinar muitos devs por ai ;)

dimitriDumal

Ótimo vídeo e ótima explicação, uma dúvida: sempre que chamar a rota de refresh token irá gerar um access token e um refresh token, como o refresh token irá expirar?

Semog

Cara, uma dúvida que estou tendo e não vejo ninguém falar, é sobre o momento ideal para gerar o novo token a partir do refresh token. Imagine que na hora que estou enviando algum formulário o token está expirado. Eu preciso adicionar capacidade de gerar novo token e reenviar a requisição atual em todas as funções de requisição do meu front? Ou tem alguma prática melhor pra isso?

diegomachado

Excelente explicação! Muito bom! Parabéns!

marcioalexandremarcondes

Legal mano agora eu consegui entender direitinho, muito obrigado pela aula esse conteúdo vale ouro.

YT.undefined

Show de bola!
A única coisa que me vem em mente agora seria sobre como invalidar refresh tokens já utilizados. Não seria uma falha de segurança? Até porque nesse exemplo eles seriam validos por 30 dias.
Obrigado pelo conteúdo!

fredimachadonet

Mas se você não armazena o token no banco não perde a capacidade de bloquear o token em vez do usuário? Suponha que um refresh token tenha vazado ai você vai e bloqueia o usuário enquanto ele não faz login novamente. Nesse intervalo quem roubou o refresh token vai ficar impossibilitado de fazer qualquer coisa porém se o usuário faz login de novo ele é desbloqueado e se o token roubado ainda estiver dentro da validade ele volta a funcionar para obtenção de access token.

cebolinharenato

Sem contar que hoje em dia já existem empresas que oferecem esse serviço de "barramento", como por exemplo o da Sensedia, que já fazem todo esse controle e gerenciamento de Token para as APIs da empresa que trabalhamos.

AndreSemSobrenome

Daria pra forçar uma única vez o uso do refresh token sem salvar no banco?

rodcorporation

"Update sem delete" shduhsua

renansalustiano

REFRESH TOKEN DA FORMA CERTA

REFRESH TOKEN DA FORMA CERTA

O que é e como funciona um Refresh Token?

Deixando nossa aplicação profissional com Refresh Token

Implementando Refresh Token utilizando JWT

Jwt refresh token #jwt #springboot #refreshtoken

Como implementar Refresh Token em uma aplicação com Node? - Code/drops #88

NodeJS : how to refresh token on google oauth2 using firebase functions?

Auth0 Refresh Token Investigation

How Interceptors EASILY implement Refresh Tokens in Angular!

Fluxo do JSON Web Tokens (JWT)

Building A Secure App With React JWT, Access and Refresh Tokens, Axios and PHP Tutorial

Next.js - Autenticação JWT com back-end próprio - Code/Drops #72

Entendendo autenticação JWT

Stop using JSON Web Tokens. Use Cookies & Server Sessions instead

[Segurança] Para que serve o Token JWT e como funciona

Como é o fluxo de autenticação com JWT?

Utilizando JWT para autenticação com Nodejs e Typescript da forma correta!

Parem de usar JWT como token de sessão

JWT + .NET: implementação de tokens, consumo, boas práticas... | 2a edição

Manc NodeJS #10 - Authenticating your single page apps using JSON Web Tokens

Componente RefreshControl em React Native - Curso de React Native - Aula 23

Node.js API [C05P04] - Módulo de Users - Json Web Token JWT com Node.js

NodeJS JWT User Authentication | 7: Sending JSON Web Token as Browser Cookie - Save Token as Cookie

Frontend - Autenticação com token