JWT refresh token - własna implementacja

Rejestracja:ponad 16 lat
Ostatnio:6 dni

0

Chciałbym zabezpieczyć swoją aplikację tokenami JWT. Robię to pierwszy raz, a że security to poważny aspekt, przedstawiam tutaj swoją ogólną koncepcję:

User po zalogowaniu dostaje access_token (JWT) ważny 15 minut oraz refresh_token (randomowy String) ważny 2 tygodnie
refresh_token zapisywany jest w local storage, access_token local storage + cookie (ze względu na SSR)
refresh_token zapisuję również na serwerze, wraz z nazwą użytkownika i datą jego wygaśnięcia
request z nieważnym access_token:
- zwraca np. 401 Unauthorized
- wykonuje kolejny request z access_token i refresh_token
- pobiera nazwę użytkownika z JWT i sprawdza czy refresh_token jest do niego przypisany i ważny
- jeśli tak, to zwraca nowy access_token i refresh_token, aktualizuje odpowiednio po stronie serwera i użytkownika
- jeśli nie to użytkownik zostaje przekierowany na stronę logowania
refresh_tokeny są okresowo czyszczone po stronie serwera

Jeśli użytkownik się wyloguje lub usunie konto, to czyszczę mu tokeny po stronie klienta.

Problem, który widzę, to w momencie kiedy strona wykona dwa równoczesne requesty z przeterminowanym access_token. Pierwszy wyśle mu nowy token, drugi go wyloguje, bo refresh_token będzie już nieprawidłowy. Na chwilę obecną nie wiem za bardzo jak to rozwiązać po stronie frontu.

Czy są tu jeszcze jakieś babole? Czy takie rozwiązanie jest w miarę OK? Czy implementując to znowu wynajduję koło na nowo? :)

hauleth

2019-01-09 12:35

hauleth2019-01-09 12:35

Moderator

Rejestracja:ponad 17 lat
Ostatnio:11 dni

3

Tak, olej JWT i zamiast tego użyj ciastek. Będzie zdecydowanie bezpieczniej niż JWK i refresh token. Ogólnie JWT jest spoko dla stateless services, przykładowo serwer plików, gdzie masz ogólnie krótki czas życia tokenu i nie potrzebujesz go refreshować, jak zaczyna być potrzeba refreshu oraz masz statefull service (co wygląda z Twojego opisu - "usunie konto") to tracisz wszystkie zalety JWT nad ciastkiem z sesją.

Całkiem dobry (trochę ironiczny) flowchart porównujący ciastka i JWT (polecam również artykuł).

neves 2019-01-09 12:55

JWT też można wsadzić do ciasteczka :)

hauleth 2019-01-09 12:55

@neves: no można, tylko po co?

marcio 2019-05-07 10:29

czesto robilem aplikacje ktore maja jwt wazny 7 dni bez zadnych refresh tokenow jak to jest zawsze z oauth2 i tyle nawet jak ktos ci jwt "ukradnie" to nie sa to aplikacje bankowe

hauleth 2019-05-07 10:31

Przy OAuth to ma troszkę więcej sensu.

kkojot

2019-01-09 13:46

kkojot2019-01-09 13:46

Rejestracja:ponad 16 lat
Ostatnio:6 dni

0

Ten flowchart dość celnie trafia w moje wątpliwości ;)

Rzeczywiście w swojej aplikacji nie widzę zbytnio korzyści z JWT nad sesją. Recz w tym, że do backendu używam Spring WebFlux, a tam chyba nie mam wbudowanego mechanizmu zarządzania sesją i "remember me" (nie chcę automatycznie wylogowywać usera w ciągu 2 tygodni). Także zostaje JWT. Pewnie tylko w ciastku, bez local storage.

discoStar

2019-05-06 21:34

discoStar2019-05-06 21:34

Rejestracja:ponad 7 lat
Ostatnio:około 3 lata
Lokalizacja:Wlk. Brytania
Postów:92

0

@hauleth Co jeśli chciałbym mieć klienta jako przeglądarkę i aplikację mobilną. Na przeglądarce używać cookie i sesje, a na aplikacji mobilnej JWT i refresh token?

marcio 2019-05-07 10:31

w takim przypadku zalezy czy masz jakis sso jesli tak to problem jest rozwiazany bo sso trzyma stan czy uzytkownik jest zalogowany a kazda aplikacja z osobna robi sobie check czy jest zalogowana na sso jesli tak dostaje jwt jesli nie sie loguje. jesli nie masz jakiegos sso to masz 2 osobne providery logowania i tyle baza uzytkownikow taka sama