GDreyV
commented
5 months ago - Не обязательно. На самом деле это делается только для супер критичных задач, например, когда пользователь хочет что-то удалить. Так что я бы не делал это по умолчанию, просто добавил бы вариант, что так тоже можно. У OIDC для этого есть какой-то специальный метод
- Access token должен быть минут 5 максимум (опять же зависит от критичности сервиса), иначе мы слишком поздно узнаем, что он был отозван. Логаут не единственный вариант, что токен сломался.
- Это уже делает сам keycloak
- Зачем?
Сервис должен проверять что пользователь не пытается зайти с токеном, который когда-либо участвовал в запросе к logout
Access token с коротким временем жизни (10-15 минут или несколько часов) — многоразовый. Он содержит информацию о пользователе.
Refresh token с долгим временем жизни (от нескольких дней до месяца) — одноразовый. Список актуальных refresh-токенов должен храниться в базе данных, чтобы соблюсти «одноразовость».
Каждый час запрашивать новый рефреш и аксес токены