- спитав автор
питання полягає в тому, чи слід програму періодично поновлювати / змінювати маркер і якщо так, то як? Чи повинен мобільний додаток, який вимагає оновлення маркера, або веб-додаток повинен робити це автономно?
Але всі відповіді написані про те, як автоматично змінити маркер.
Я вважаю, що періодично змінювати маркер на маркер безглуздо. Решта рамки створюють маркер, що містить 40 символів, якщо зловмисник тестує 1000 маркерів щосекунди, 16**40/1000/3600/24/365=4.6*10^7
для отримання жетону потрібні роки. Ви не повинні турбуватися, що зловмисник перевірятиме ваш маркер по черзі. Навіть ви змінили маркер, ймовірність здогадатися, що ви бачите, така ж.
Якщо ви переживаєте, що, можливо, зловмисники можуть отримати токен, тож ви періодично його міняєте, ніж після того, як зловмисник отримає маркер, він також може змінити ваш маркер, ніж реального користувача виганяють.
Що ви дійсно повинні зробити, це не допустити, щоб зловмисник отримував токен вашого користувача, використовуйте https .
До речі, я просто кажу, що зміна токена за токеном є безглуздим, зміна маркера за іменем користувача та паролем іноді має значення. Можливо, маркер використовується в якомусь середовищі http (ви завжди повинні уникати подібної ситуації) або на сторонній стороні (у цьому випадку вам слід створити інший тип токена, використовувати oauth2) і коли користувач робить якусь небезпечну річ, наприклад зміну прив’язуючи поштову скриньку або видаляючи обліковий запис, ви повинні переконатися, що більше не будете використовувати маркер початкового коду, оскільки це може бути виявлено зловмисником за допомогою інструментів sniffer або tcpdump.