Actualmente estamos utilizando tokens web JSON para la autenticación de la API de nuestro sitio web. Usamos tokens de acceso de corta duración de 1 hora que se actualizan con un token de actualización revocable permanente.
Ahora queremos agregar un sistema de cuenta + inicio de sesión al sitio web y vincularlo al uso de la API. Sin embargo, actualmente estamos debatiendo sobre la seguridad de esto.
La implementación ingenua sería solo un token de acceso de 3 horas para una sesión y algo así como un tiempo de expiración de 2 semanas si el usuario elige la opción "permanecer conectado". Sin embargo, esto haría un poco inútil el corto tiempo de caducidad. En caso de que las fichas se filtren, tienes una ventana de ataque de dos semanas completas.
La alternativa que pensamos sería algún tipo de "proxy" que verifique si el token está vencido y se actualiza automáticamente con el token de actualización en localstorage o como una cookie.
¿La versión ingenua sería una implementación aceptable o los riesgos de seguridad son demasiado altos?