Перейти на PRO

Что происходит с Access Token при обновлении Refresh Token?

Тип вопроса: Безопасность Вероятность: 10% Категория: Python Разработчик

Ответ

При обновлении Refresh Token реализуется механизм ротации токенов (Refresh Token Rotation), который является лучшей практикой для повышения безопасности.

Процесс выглядит следующим образом:

  1. Выпускается новая пара токенов. В ответ на запрос с валидным Refresh Token сервер генерирует и возвращает клиенту новый Access Token и новый Refresh Token.
  2. Старый Refresh Token инвалидируется. Использованный Refresh Token немедленно помечается как недействительный и больше не может быть использован. Это защищает от атак повторного использования (replay attacks).

Что происходит со старым Access Token?

Существует две основные стратегии:

  • Немедленная инвалидация (более безопасно): Старый Access Token также отзывается. Это самый надежный подход, но он требует более сложной инфраструктуры для отслеживания активных токенов (например, через allowlist/denylist).
  • Действие до истечения срока (проще в реализации): Старый Access Token продолжает действовать до окончания своего короткого срока жизни (TTL, обычно 5-15 минут).

Пример логики на стороне сервера (псевдокод):

def refresh_token_flow(old_refresh_token: str):
    # 1. Найти и проверить токен в базе данных
    token_record = db.find_refresh_token(old_refresh_token)
    if not token_record or token_record.is_used:
        # Если токен не найден или уже использован - это подозрительная активность.
        # В этом случае рекомендуется отозвать всю сессию пользователя.
        raise InvalidTokenError("Refresh token is invalid or has been used")

    # 2. Пометить старый токен как использованный
    db.mark_token_as_used(old_refresh_token)

    # 3. Сгенерировать новую пару токенов
    user_id = token_record.user_id
    new_access_token = create_access_token(user_id)
    new_refresh_token = create_refresh_token(user_id)

    # 4. Сохранить новый refresh token в БД
    db.save_refresh_token(new_refresh_token, user_id)

    return {
        "access_token": new_access_token,
        "refresh_token": new_refresh_token
    }

Этот механизм гарантирует, что даже если Refresh Token будет перехвачен, его можно будет использовать только один раз, что значительно снижает риски компрометации.

Ответ 18+ 🔞

Да ты послушай, что эти умники придумали, чтобы нас, разработчиков, окончательно с ума свести! Идёт речь о так называемой «ротации токенов», а по-простому — о том, как обновлять эти самые refresh token'ы, не угробив безопасность.

Представь картину, ёпта. У тебя есть refresh token — это типа твой пожизненный пропуск в закрытый клуб, но только одноразовый. Ты его предъявляешь и говоришь: «Братан, я тут, продли мне доступ». А охрана (наш сервер), такая хитрая жопа, делает следующее:

  1. Выдаёт тебе новую пару пропусков. То есть новый, свеженький Access Token (на 15 минут) и совершенно новый Refresh Token. Старый refresh token они у тебя забирают и рвут нахуй.
  2. Старый refresh token отправляется в утиль. Его сразу помечают как использованный. Если какой-то мудак попробует им воспользоваться ещё раз — его нахуй вышвырнут, да ещё и всю твою сессию отзовут, чтобы наверняка. Это защита от повторного использования, атаки-то всякие, понимаешь?

А вот с старым Access Token'ом вообще цирк начинается. Тут два лагеря:

  • Параноики (но правы): «Да отозвать его нахуй немедленно!» — самый безопасный путь. Но для этого надо все выданные токены как-то отслеживать, список вести. Геморрой, конечно.
  • Реалисты (но ленивы): «Да похуй, сам сдохнет через 5 минут». Так проще, токен живёт свой короткий век и тихо помирает. Риск есть, но маленький.

Смотри, как это примерно в коде выглядит, блядь:

def refresh_token_flow(old_refresh_token: str):
    # 1. Ищем этот старый токен в базе
    token_record = db.find_refresh_token(old_refresh_token)
    if not token_record or token_record.is_used:
        # Если токена нет или он уже использован — это пиздец, тревога!
        # Значит, его кто-то украл и пытается юзать. Отзываем всю сессию пользователя нахуй.
        raise InvalidTokenError("Refresh token is invalid or has been used")

    # 2. Помечаем старый токен как побывавший в деле
    db.mark_token_as_used(old_refresh_token)

    # 3. Генерируем новую парочку
    user_id = token_record.user_id
    new_access_token = create_access_token(user_id)
    new_refresh_token = create_refresh_token(user_id)

    # 4. Новый refresh token аккуратно кладём в базу
    db.save_refresh_token(new_refresh_token, user_id)

    return {
        "access_token": new_access_token,
        "refresh_token": new_refresh_token
    }

Вот и вся магия, ебать мои старые костыли. Суть в чём: даже если этот refresh token утечёт, им можно будет воспользоваться только один раз. После этого он превращается в тыкву, а злоумышленник остаётся с ебальником, полным недоумения. А у тебя уже новый токен, и ты в безопасности. Хитро, да?

© ХакСобесов, 2026
support@hacksobesov.com