Autenticazione basata su token: perché invalidare il token dopo ogni richiesta?

2

Uso la gemma devise_token_auth durante lo sviluppo di un'API per un'app mobile.
Gli autori sostengono che:

Tokens should be invalidated after each request to the API.

Questo comportamento è abilitato per impostazione predefinita. Qualcuno può spiegare perché?

La risposta perfetta conterrà tutti i meccanismi di sicurezza dei mandatari di questo metodo di autenticazione. Ognuno sarà giustificato con il nome di un attacco associato. Una considerazione speciale deve essere data alla invalidità del token .

    
posta rdupz 20.02.2016 - 14:52
fonte

0 risposte

Leggi altre domande sui tag