Minh Hùng Trần

Thật sự có thật sự không. Vấn đề là bạn dùng nó vào mục đích gì và hay công việc bạn có yêu cầu nó không? Password manager có tác dụng đơn giản là lưu trữ mật khẩu giúp bạn đỡ tốn thời gian ghi nhớ những mk phức tạp hoặc mã ngẫu nhiên, 2 là giải pháp bảo mật do hằng năm những vụ đánh cắp mật khẩu xảy ra thường xuyên trên thế giới do để mk đơn giản dễ đoán. Và cuối cùng là giải pháp IT cho doanh nghiệp về vấn đề mk khách hàng, nhiều ứng dụng yêu cầu nó thay cho nhập mk chuyền thống, kiểu gg authen ấy

Thực ra để bảo vệ refresh token cũng không khó như bạn nghĩ đâu đây là 2 cách mình thường làm"

• Thêm xác thực app-id, api-key (có thể thêm cơ chế xác thực vào middleware) kiểm tra app-id đó mà server cấp cho front-end, có thể hash lại và gửi thông qua body. Nếu qua header thì dùng sha256 và lưu salt ở server bạn.
• Kiểm tra ip đc cấp phép không,
• Bonus: Thường thì truy cập qua browser nếu có request sẽ có User-Agent ở header. Ví dụ : " Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/123.45 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/123.45" .Kiểm tra xem browser gì, nếu ko thì sẽ là từ code, postman hay cURL thì ban luôn refresh token đó