Was bringen refresh-token

[bambusmensch]

Also: den Sinn hinter nem access-token verstehe ich, man schickt ihm dem client zurück und er kann z.B. in den nächsten 5 Minuten Anfragen an bestimmte routes schicken. Dann gibt es noch refresh-token, mit denen man immer einen neuen access-token "beantragt", wenn z.B. die 5 Minuten um sind. Damit möchte man ja falls der access-token geklaut wird vorbeugen dass der angreifer nicht lange in das System kann. Aber kann sich der Angreifer nicht einfach gleich den refresh-token holen um dann immer wieder (z.B. ein jahr lang) einen neuen access-token beantragen zu können?
Irgendwie schließt sich mit der Sinn der ganzen Geschichte nicht so.

Und warum überhaupt refresh-token? Bei einen Session-basierten authentifizierung, kann man ja auch einfach den session key aus dem cookie klauen und dann sich von überall einloggen, oder? Und der ist ja nicht nur auf 5 Minuten beschränkt

[admin]

Das kann ich dir auch nicht richtig erklären.
Kommt vielleicht auch darauf an was du genau vorhast.
Es gibt ja auch Token die in einer API URL stehen.
Die könnte jeder klauen, aber meistens laufen die APIs nur auf der einen Webseite.

Ich habe mal ein Link gefunden , vielleicht hilf dir das, weil das mit den Token Kram ist auch nicht mein Fachgebiet
https://auth0.com/docs/tokens/refresh-tokens
und
https://stackoverflow.com/questions/3898...resh-token

[admin]

@"sonusood" wissen die Inhaber oder Links, dass du mit deinen spammscheiss versuchst das Google Ranking zu manipulieren?
Werde mal versuchen die Inhaber anzuschreiben und den sagen, dass die Foren mit dem Müll zu gepostet wird , und das mehr schadet als hilft.

Ich gehe davon aus das ihr/du eine Webagentur habt und die Kunden zahlen tun dafür.
Hoffe das die nach meiner E-Mail und Screenshot sich das nochmal überlegen das zu bezahlen