JWT (JSON Web Token) автоматическое продление срока действия

Question

JWT (JSON Web Token) автоматическое продление срока действия

403

Я хотел бы реализовать аутентификацию на основе JWT в нашем новом REST API. Но поскольку срок действия установлен в токене, можно ли его автоматически продлить? Я не хочу, чтобы пользователям приходилось регистрироваться через каждые X минут, если они активно использовали приложение в этот период. Это было бы огромным сбоем UX.

Но продление срока действия создает новый токен (и старый остается действительным до истечения срока его действия). И генерация нового токена после каждых запросов звучит глупо для меня. Звучит как проблема безопасности, когда одновременно используется более одного токена. Конечно, я мог бы аннулировать старый использованный, используя черный список, но мне нужно будет хранить токены. И одно из преимуществ JWT не является хранилищем.

Я нашел, как Auth0 решил это. Они используют не только токен JWT, но и токен обновления: https://docs.auth0.com/refresh-token

Но опять же, чтобы реализовать это (без Auth0), мне нужно будет хранить токены обновления и поддерживать их истечение. Какая же реальная польза? Почему бы не иметь только один токен (не JWT) и сохранить срок действия на сервере?

Есть ли другие варианты? Использует ли JWT не подходящий для этого сценария?

maryo 04 нояб. 2014, в 15:22

Источник

0

На самом деле, вероятно, нет проблем с безопасностью сразу со многими действительными токенами ... На самом деле существует бесконечное количество действительных токенов ... Итак, зачем тогда иметь токен обновления? Я буду восстанавливать их после каждого запроса, это на самом деле не должно быть проблемой.
maryo 04 нояб. 2014, в 21:30
0

Для SPA, проверьте мой пост в блоге: blog.wong2.me/2017/02/20/refresh-auth0-token-in-spa
wong2 21 фев. 2017, в 06:11

Теги:

node.js

security

authentication

jwt

api

10 ответов

58

В случае, когда вы сами обрабатываете auth (например, не используете поставщика, такого как Auth0), может работать следующее:

Выдавать токен JWT с относительно коротким сроком действия, скажем, 15 минут.
Приложение проверяет дату истечения срока действия токена перед любой транзакцией, требующей токена (токен содержит дату истечения срока действия). Если токен истек, тогда он сначала запрашивает API для "обновления" токена (это делается прозрачно для UX).
API получает запрос обновления токена, но сначала проверяет базу данных пользователей, чтобы определить, был ли установлен флаг 'reauth' для этого профиля пользователя (токен может содержать идентификатор пользователя). Если флаг присутствует, то обновляется токен, иначе выдается новый токен.
Повтор.

Флаг 'reauth' в бэкэнде базы данных будет установлен, если, например, пользователь имеет reset свой пароль. Флаг удаляется, когда пользователь регистрируется в следующий раз.

Кроме того, скажем, у вас есть политика, согласно которой пользователь должен войти в систему не реже одного раза в 72 часа. В этом случае логика обновления токена API также проверит дату последнего входа пользователя в пользовательскую базу данных и запретит/разрешить обновление токена на этой основе.

IanB 20 фев. 2015, в 03:10

5

Я не думаю, что это будет безопасно. Если бы я был злоумышленником, украл ваш токен и отправил его на сервер, сервер проверил бы и увидел, что флаг установлен в значение true, и это здорово, поскольку он заблокировал бы обновление. Я думаю, что проблема заключается в том, что если жертва сменит свой пароль, флаг будет установлен в значение false, и теперь злоумышленник может использовать этот оригинальный токен для обновления.
user2924127 08 июнь 2015, в 19:37
5

@ user2924127 нет идеального решения для аутентификации, и всегда будут компромиссы. Если злоумышленник может «украсть ваш токен», у вас могут возникнуть более серьезные проблемы. Установка максимального времени жизни токена была бы полезной настройкой.
IanB 10 июнь 2015, в 00:41
22

вместо наличия другого поля в базе данных, флага reauth, вы можете включить хэш (bcrypt_password_hash) в токен. Затем при обновлении токена вы просто подтверждаете, что хеш (bcrypt_password_hash) равен значению из токена. Чтобы запретить обновление токена, нужно просто обновить хэш пароля.
bas 07 нояб. 2015, в 09:12
4

@bas, думая об оптимизации и производительности, я думаю, что проверка хэша пароля была бы излишней и имела бы больше последствий для сервера. Увеличьте размер токена, чтобы подпись фирмы / проверки занимала больше времени. дополнительные хеш-вычисления для сервера для пароля. с дополнительным полевым подходом вы просто проверяете в пересчете с простым логическим значением. Обновления БД менее часты для дополнительного поля, но чаще обновляются токены. И вы получаете дополнительную услугу принудительного индивидуального повторного входа в систему для любого существующего сеанса (мобильный, веб и т. Д.).
le0diaz 14 апр. 2016, в 16:52
1

@ le0diaz Я не предлагал хеширование пароля, но хэширование строки (может быть изменено_at, пароля или любых данных, которые должны вызывать выход из системы) с помощью функции быстрого хеширования, скажем, md5. В настоящее время выполнение md5 (short_string) не является проблемой производительности. Если вам нужно выполнить «отдельные входы в систему», то здесь также не поможет reauth.
bas 15 апр. 2016, в 09:44
5

Я думаю, что первый комментарий пользователя 2924127 на самом деле неверен. При изменении пароля учетная запись помечается как требующая повторной аутентификации, поэтому любые существующие токены с истекшим сроком действия будут недействительными.
Ralph 26 апр. 2016, в 12:33
0

Мне нравится этот метод, своего рода гибридное решение.
Selim Ok 28 июнь 2016, в 08:45
0

@Ralph Я думаю, что наоборот, если пароль будет изменен, старые просроченные токены все равно будут действительны. Первое попадание потребует повторной аутентификации, но затем последующие вызовы будут проходить снова. Таким образом, существующие токены с истекшим сроком действия все еще будут действительны. Так же, как упомянул user2924127.
Andreas Lundgren 13 окт. 2016, в 08:39
0

@bas Это хорошо, если вы не хотите добавлять больше триггеров в свой хэш. Может быть, для принудительного повторного входа при смене IP-адреса на другой конец света за 1 секунду или что-то в этом роде. Затем, если вы измените алгоритм вычисления хэша, все ваши пользователи должны будут повторно войти в систему при следующем вызове BE. Одним из решений может быть сохранение хеша в БД и проверка повторов, которые хэшируют каждый раз, когда требуется обновить токен доступа.
Andreas Lundgren 13 окт. 2016, в 08:44
2

@ user2924127 Очень верный пункт! Нет, только если злоумышленник вовлечен. Если вы вошли в систему с несколькими устройствами, у конечного пользователя будет очень странное поведение. Необходимость повторной регистрации только на первом устройстве после обновления пароля ... Допустим, вы вошли в систему на компьютере друзей или на компьютере в интернет-кафе, учебной школе и т. Д. Можно ожидать изменения пароля для блокировки учетной записи на ваши эти компьютеры.
Andreas Lundgren 13 окт. 2016, в 08:50
4

@AndreasLundgren это правда. Помните, что у каждого токена есть время создания, поэтому одним из обходных путей будет просто сравнить время сброса пароля со временем создания токена - токены, созданные до последнего сброса пароля, не будут обновлены.
IanB 14 окт. 2016, в 01:12
0

Конечный пользователь @AndreasLundgren должен будет повторно войти в систему на каждом устройстве, если только его токен не получен сеансом входа в систему, который использовал текущий пароль. Таким образом, смена пароля заблокирует учетную запись на всех компьютерах.
bas 14 окт. 2016, в 12:10
0

поэтому каждый раз, когда вы, по-видимому, запрашиваете какой-либо пользовательский репозиторий / db, чтобы проверить последнюю смену пароля ...
Matt 17 нояб. 2017, в 20:42

Показать ещё 11 комментариев

11

Альтернативным решением для аннулирования JWT без дополнительной защищенной памяти на бэкэнд является реализация нового столбца jwt_version integer в таблице users. Если пользователь хочет выйти из системы или выпустить существующие токены, они просто увеличивают поле jwt_version.

При создании нового JWT кодируйте jwt_version в полезную нагрузку JWT, необязательно увеличивая значение заранее, если новый JWT должен заменить все остальные.

При проверке JWT поле jwt_version сравнивается с user_id, а авторизация предоставляется только в том случае, если оно соответствует.

Ollie Bennett 31 май 2017, в 10:45

1

Это имеет проблемы с несколькими устройствами. По сути, если вы выходите из системы на одном устройстве, оно выходит из системы везде. Правильно?
Sam Washburn 28 апр. 2018, в 06:08
3

Эй, это не может быть "проблемой" в зависимости от ваших требований, но вы правы; это не поддерживает управление сеансом для каждого устройства.
Ollie Bennett 29 апр. 2018, в 10:57

11

Я возился, перемещая наши приложения в HTML5 с помощью RESTful apis в бэкэнд. Решение, которое я придумал, было:

При успешном входе в систему клиент получает токен с временем сеанса 30 минут (или независимо от обычного времени сеанса на стороне сервера).
Таймер клиентской стороны создается для вызова службы для обновления токена до истечения срока его действия. Новый токен заменит существующие в будущем вызовы.

Как вы можете видеть, это уменьшает частоту запросов токена обновления. Если пользователь закрывает браузер/приложение до того, как будет вызван возобновление вызова токена, предыдущий токен истечет во времени, и пользователю придется повторно войти в систему.

Более сложная стратегия может быть реализована для обслуживания бездействия пользователей (например, пренебречь открытой вкладкой браузера). В этом случае повторный вызов токена должен включать ожидаемое время истечения, которое не должно превышать заданное время сеанса. Приложение должно будет следить за последним взаимодействием с пользователем.

Мне не нравится идея установить длительный срок действия, поэтому этот подход может плохо работать с собственными приложениями, требующими менее частой аутентификации.

coolersport 21 май 2015, в 04:50

1

Что делать, если компьютер был приостановлен / спать. Таймер будет отсчитывать до истечения срока действия, но токен уже истек. Таймер не работает в этих ситуациях
Alex Parij 10 нояб. 2018, в 03:54

8

Хорошо question- и в самом вопросе много информации.

Статья " Обновить токены: когда их использовать и как они взаимодействуют с JWT" дает хорошую идею для этого сценария. Некоторые моменты: -

Токены обновления содержат информацию, необходимую для получения нового токена доступа.
Жетоны обновления также могут истечь, но они довольно долгоживущие.
Для маркеров обновления обычно применяются строгие требования к хранению, чтобы они не были утечки.
Они также могут быть внесены в черный список сервером авторизации.

Также взгляните на auth0/angular-jwt angularjs

Для веб-API. Прочитайте Включить маркеры обновления OAuth в приложении AngularJS с помощью ASP.NET Web API 2 и Owin

Lijo 26 авг. 2016, в 19:29

6

Я действительно реализовал это на PHP с помощью клиента Guzzle, чтобы создать клиентскую библиотеку для api, но концепция должна работать на других платформах.

В принципе, я выдаю два токена, короткий (5 минут) один и длинный, который истекает через неделю. В клиентской библиотеке используется промежуточное программное обеспечение, чтобы попытаться обновить короткий токен, если он получает ответ 401 на некоторый запрос. Затем он снова попытается выполнить первоначальный запрос и, если он сможет обновиться, получит правильный ответ, прозрачно для пользователя. Если он не удался, он просто отправит пользователю 401.

Если короткий токен истек, но все еще аутентичен, а длинный токен действителен и аутентичен, он обновит короткий токен, используя специальную конечную точку службы, которая проверяет длительный токен (это единственное, что можно использовать для). Затем он будет использовать короткий токен, чтобы получить новый длинный токен, тем самым увеличивая его на другую неделю каждый раз, когда он обновляет короткий токен.

Этот подход также позволяет нам аннулировать доступ в течение не более 5 минут, что приемлемо для нашего использования без необходимости хранить черный список токенов.

Позднее редактирование: перечитав эти месяцы после того, как это было свежо в моей голове, я должен указать, что вы можете отменить доступ при обновлении короткого токена, поскольку он дает возможность для более дорогих вызовов (например, вызов в базу данных, чтобы увидеть если пользователь был заблокирован), не оплачивая его при каждом обращении к вашей службе.

BytePorter 13 дек. 2016, в 22:30

6

jwt-autorefresh

Если вы используете node (React/Redux/Universal JS), вы можете установить npm i -S jwt-autorefresh.

Эта библиотека планирует обновить токены JWT у пользователя, рассчитанное за несколько секунд до истечения срока действия маркера доступа (на основе требования exp, закодированного в токене). Он имеет обширный набор тестов и проверяет довольно много условий, чтобы любая странная деятельность сопровождалась описательным сообщением о неправильных конфигурациях из вашей среды.

Полная реализация примера

import autorefresh from 'jwt-autorefresh'

/** Events in your app that are triggered when your user becomes authorized or deauthorized. */
import { onAuthorize, onDeauthorize } from './events'

/** Your refresh token mechanism, returning a promise that resolves to the new access tokenFunction (library does not care about your method of persisting tokens) */
const refresh = () => {
  const init =  { method: 'POST'
                , headers: { 'Content-Type': `application/x-www-form-urlencoded` }
                , body: `refresh_token=${localStorage.refresh_token}&grant_type=refresh_token`
                }
  return fetch('/oauth/token', init)
    .then(res => res.json())
    .then(({ token_type, access_token, expires_in, refresh_token }) => {
      localStorage.access_token = access_token
      localStorage.refresh_token = refresh_token
      return access_token
    })
}

/** You supply a leadSeconds number or function that generates a number of seconds that the refresh should occur prior to the access token expiring */
const leadSeconds = () => {
  /** Generate random additional seconds (up to 30 in this case) to append to the lead time to ensure multiple clients dont schedule simultaneous refresh */
  const jitter = Math.floor(Math.random() * 30)

  /** Schedule autorefresh to occur 60 to 90 seconds prior to token expiration */
  return 60 + jitter
}

let start = autorefresh({ refresh, leadSeconds })
let cancel = () => {}
onAuthorize(access_token => {
  cancel()
  cancel = start(access_token)
})

onDeauthorize(() => cancel())

отказ от ответственности: я поддерживаю

cchamberlain 27 май 2016, в 08:30

0

Вопрос об этом, я видел функцию декодирования, которую он использует. Предполагается ли, что JWT может быть декодирован без использования секрета? Работает ли это с JWT, которые были подписаны с секретом?
Gian Franco Zabarino 29 сен. 2016, в 12:21
3

Да, декодирование является декодированием только для клиента и не должно знать о секрете. Секрет используется для подписи серверного токена JWT, чтобы убедиться, что ваша подпись использовалась для генерации JWT изначально и никогда не должна использоваться на клиенте. Волшебство JWT заключается в том, что его полезная нагрузка может быть декодирована на стороне клиента, а утверждения внутри могут использоваться для создания вашего пользовательского интерфейса без секрета. Единственное, для чего jwt-autorefresh декодирует его, - это извлечь утверждение exp чтобы оно могло определить, как далеко планировать следующее обновление.
cchamberlain 29 сен. 2016, в 14:02
1

О, приятно знать, что-то не имеет смысла, но теперь это имеет значение. Спасибо за ответ.
Gian Franco Zabarino 29 сен. 2016, в 14:29

Показать ещё 1 комментарий

2

Я решил эту проблему, добавив переменную в данные токена:

softexp - I set this to 5 mins (300 seconds)

Я установил опцию expiresIn в желаемое время, прежде чем пользователь будет вынужден снова войти в систему. Шахта устанавливается на 30 минут. Это должно быть больше значения softexp.

Когда приложение на стороне клиента отправляет запрос API-интерфейсу сервера (где требуется токен, например страница списка клиентов), сервер проверяет, остается ли поданный токен или нет, на основе его первоначального значения истечения срока действия (expiresIn), Если это недействительно, сервер ответит статусом, определенным для этой ошибки, например. INVALID_TOKEN.

Если токен все еще действителен на основе значения expiredIn, но он уже превысил значение softexp, сервер ответит отдельным статусом на эту ошибку, например. EXPIRED_TOKEN:

(Math.floor(Date.now() / 1000) > decoded.softexp)

На стороне клиента, если он получил ответ EXPIRED_TOKEN, он должен обновить маркер автоматически, отправив на сервер запрос на обновление. Это прозрачно для пользователя и автоматически заботится о клиентском приложении.

Метод обновления на сервере должен проверить, действительно ли токен действителен:

jwt.verify(token, secret, (err, decoded) => {})

Сервер откажется обновлять токены, если он не выполнил вышеуказанный метод.

James A 04 авг. 2017, в 22:39

2

Как насчет этого подхода:

Для каждого запроса клиента сервер сравнивает expirationTime токена с (currentTime - lastAccessTime)
Если expirationTime < (currentTime - lastAccessedTime), он изменяет последнее lastAccessedTime на currentTime.
В случае неактивности в браузере на время, превышающее период expirationTime, или в случае закрытия окна браузера и expirationTime > (currentTime - lastAccessedTime), а затем сервер может истечь токен и попросите пользователя снова войти в систему.

В этом случае мы не нуждаемся в дополнительной конечной точке для обновления токена. Поблагодарили бы любую подачу.

sjaiswal 10 май 2016, в 23:28

0

Является ли это хорошим выбором в этот день, это выглядит довольно легко для реализации.
b.ben 27 июнь 2016, в 16:11
4

В этом случае, где вы храните lastAccessedTime? Вы должны сделать это на бэкэнде и по запросу, так что это становится нежелательным решением с сохранением состояния.
antgar9 24 июль 2016, в 17:26

0

Ниже приведены инструкции по отзыву вашего токена доступа JWT:

1) Когда вы входите в систему, отправьте 2 токена (токен доступа, токен обновления) в ответ клиенту.
2) У маркера доступа будет меньше время истечения, а у обновления будет долгое время истечения.
3) Клиент (Front end) будет хранить токен обновления в своем локальном хранилище и токен доступа в куки.
4) Клиент будет использовать токен доступа для вызова API. Но когда он истекает, выберите токен обновления из локального хранилища и вызовите сервер аутентификации api, чтобы получить новый токен.
5) На вашем сервере аутентификации будет открыт API, который примет токен обновления, проверит его действительность и вернет новый токен доступа.
6) Когда срок действия маркера обновления истечет, пользователь выйдет из системы.

Пожалуйста, дайте мне знать, если вам нужна дополнительная информация, я также могу поделиться кодом (Java + Spring boot).

Bhupinder Singh 26 янв. 2019, в 13:11

Ещё вопросы

На самом деле, вероятно, нет проблем с безопасностью сразу со многими действительными токенами ... На самом деле существует бесконечное количество действительных токенов ... Итак, зачем тогда иметь токен обновления? Я буду восстанавливать их после каждого запроса, это на самом деле не должно быть проблемой.
Для SPA, проверьте мой пост в блоге: blog.wong2.me/2017/02/20/refresh-auth0-token-in-spa
Я не думаю, что это будет безопасно. Если бы я был злоумышленником, украл ваш токен и отправил его на сервер, сервер проверил бы и увидел, что флаг установлен в значение true, и это здорово, поскольку он заблокировал бы обновление. Я думаю, что проблема заключается в том, что если жертва сменит свой пароль, флаг будет установлен в значение false, и теперь злоумышленник может использовать этот оригинальный токен для обновления.
@ user2924127 нет идеального решения для аутентификации, и всегда будут компромиссы. Если злоумышленник может «украсть ваш токен», у вас могут возникнуть более серьезные проблемы. Установка максимального времени жизни токена была бы полезной настройкой.
вместо наличия другого поля в базе данных, флага reauth, вы можете включить хэш (bcrypt_password_hash) в токен. Затем при обновлении токена вы просто подтверждаете, что хеш (bcrypt_password_hash) равен значению из токена. Чтобы запретить обновление токена, нужно просто обновить хэш пароля.
@bas, думая об оптимизации и производительности, я думаю, что проверка хэша пароля была бы излишней и имела бы больше последствий для сервера. Увеличьте размер токена, чтобы подпись фирмы / проверки занимала больше времени. дополнительные хеш-вычисления для сервера для пароля. с дополнительным полевым подходом вы просто проверяете в пересчете с простым логическим значением. Обновления БД менее часты для дополнительного поля, но чаще обновляются токены. И вы получаете дополнительную услугу принудительного индивидуального повторного входа в систему для любого существующего сеанса (мобильный, веб и т. Д.).
@ le0diaz Я не предлагал хеширование пароля, но хэширование строки (может быть изменено_at, пароля или любых данных, которые должны вызывать выход из системы) с помощью функции быстрого хеширования, скажем, md5. В настоящее время выполнение md5 (short_string) не является проблемой производительности. Если вам нужно выполнить «отдельные входы в систему», то здесь также не поможет reauth.
Я думаю, что первый комментарий пользователя 2924127 на самом деле неверен. При изменении пароля учетная запись помечается как требующая повторной аутентификации, поэтому любые существующие токены с истекшим сроком действия будут недействительными.
Мне нравится этот метод, своего рода гибридное решение.
@Ralph Я думаю, что наоборот, если пароль будет изменен, старые просроченные токены все равно будут действительны. Первое попадание потребует повторной аутентификации, но затем последующие вызовы будут проходить снова. Таким образом, существующие токены с истекшим сроком действия все еще будут действительны. Так же, как упомянул user2924127.
@bas Это хорошо, если вы не хотите добавлять больше триггеров в свой хэш. Может быть, для принудительного повторного входа при смене IP-адреса на другой конец света за 1 секунду или что-то в этом роде. Затем, если вы измените алгоритм вычисления хэша, все ваши пользователи должны будут повторно войти в систему при следующем вызове BE. Одним из решений может быть сохранение хеша в БД и проверка повторов, которые хэшируют каждый раз, когда требуется обновить токен доступа.
@ user2924127 Очень верный пункт! Нет, только если злоумышленник вовлечен. Если вы вошли в систему с несколькими устройствами, у конечного пользователя будет очень странное поведение. Необходимость повторной регистрации только на первом устройстве после обновления пароля ... Допустим, вы вошли в систему на компьютере друзей или на компьютере в интернет-кафе, учебной школе и т. Д. Можно ожидать изменения пароля для блокировки учетной записи на ваши эти компьютеры.
@AndreasLundgren это правда. Помните, что у каждого токена есть время создания, поэтому одним из обходных путей будет просто сравнить время сброса пароля со временем создания токена - токены, созданные до последнего сброса пароля, не будут обновлены.
Конечный пользователь @AndreasLundgren должен будет повторно войти в систему на каждом устройстве, если только его токен не получен сеансом входа в систему, который использовал текущий пароль. Таким образом, смена пароля заблокирует учетную запись на всех компьютерах.
поэтому каждый раз, когда вы, по-видимому, запрашиваете какой-либо пользовательский репозиторий / db, чтобы проверить последнюю смену пароля ...
Это имеет проблемы с несколькими устройствами. По сути, если вы выходите из системы на одном устройстве, оно выходит из системы везде. Правильно?
Эй, это не может быть "проблемой" в зависимости от ваших требований, но вы правы; это не поддерживает управление сеансом для каждого устройства.
Что делать, если компьютер был приостановлен / спать. Таймер будет отсчитывать до истечения срока действия, но токен уже истек. Таймер не работает в этих ситуациях
Вопрос об этом, я видел функцию декодирования, которую он использует. Предполагается ли, что JWT может быть декодирован без использования секрета? Работает ли это с JWT, которые были подписаны с секретом?
Да, декодирование является декодированием только для клиента и не должно знать о секрете. Секрет используется для подписи серверного токена JWT, чтобы убедиться, что ваша подпись использовалась для генерации JWT изначально и никогда не должна использоваться на клиенте. Волшебство JWT заключается в том, что его полезная нагрузка может быть декодирована на стороне клиента, а утверждения внутри могут использоваться для создания вашего пользовательского интерфейса без секрета. Единственное, для чего jwt-autorefresh декодирует его, - это извлечь утверждение exp чтобы оно могло определить, как далеко планировать следующее обновление.
О, приятно знать, что-то не имеет смысла, но теперь это имеет значение. Спасибо за ответ.
Является ли это хорошим выбором в этот день, это выглядит довольно легко для реализации.
В этом случае, где вы храните lastAccessedTime? Вы должны сделать это на бэкэнде и по запросу, так что это становится нежелательным решением с сохранением состояния.

José F. Romaniello · Accepted Answer · 2014-11-10T00-07-00.000Z

488

Лучший ответ

Я работаю в Auth0, и я участвовал в разработке функции токена обновления.

Все зависит от типа приложения, и вот наш рекомендуемый подход.

Веб-приложения

Хороший шаблон - обновить токен до истечения срока его действия.

Установите срок действия маркера на одну неделю и обновите токен каждый раз, когда пользователь открывает веб-приложение и каждый час. Если пользователь не открывает приложение более недели, им придется снова войти в систему, и это приемлемое веб-приложение UX.

Чтобы обновить токен, вашему API требуется новая конечная точка, которая получает действительный, но не истекший JWT, и возвращает тот же подписанный JWT с новым полем истечения срока действия. Затем веб-приложение будет хранить токен где-то.

Мобильные/Родные приложения

Большинство встроенных приложений регистрируются один раз и только один раз.

Идея заключается в том, что токен обновления никогда не истекает, и его можно всегда обменивать для действительного JWT.

Проблема с токеном, который никогда не истекает, заключается в том, что никогда означает никогда. Что вы будете делать, если потеряете свой телефон? Таким образом, пользователь должен каким-то образом идентифицировать пользователя, и приложение должно предоставить способ отмены доступа. Мы решили использовать имя устройства, например. "maryo iPad". Затем пользователь может перейти к приложению и отменить доступ к "maryo iPad".

Другой подход - отменить токен обновления для определенных событий. Интересным событием является смена пароля.

Мы считаем, что JWT не подходит для этих случаев использования, поэтому мы используем случайную сгенерированную строку, и мы сохраняем ее на нашей стороне.

José F. Romaniello 10 нояб. 2014, в 00:07

27

Для подхода, рекомендуемого веб-приложениями, если токен действителен в течение недели, разве мы не заинтересованы в том, чтобы кто-то перехватил токен и затем мог использовать его в течение такого длительного времени? Отказ от ответственности: я не совсем понимаю, о чем говорю.
wbeange 27 янв. 2015, в 01:13
22

@wbeange да, перехват - проблема, даже с печеньем. Вы должны использовать https.
José F. Romaniello 27 янв. 2015, в 12:49
4

@ JoséF.Romaniello Можете ли вы уточнить, что вы имеете в виду под «Мы считаем, что JWT бесполезен для этих случаев использования, поэтому мы используем случайно сгенерированную строку и храним ее на нашей стороне». Для каких вариантов использования и для чего используется случайная строка?
DevFox 27 фев. 2015, в 08:42
5

@DevFox Я имел в виду, что токен обновления - это не JWT, а непрозрачный токен.
José F. Romaniello 02 март 2015, в 13:52
1

Я использовал угловой перехватчик для реализации обновления с каждым http-запросом.
Daniel Watrous 09 июнь 2015, в 14:47
1

Веб-приложение : если вам не нравится обновлять каждый час или вы хотите попробовать альтернативное решение, вы можете сделать так, чтобы все запросы API проходили через прокси на стороне сервера, который постоянно хранит маркеры обновления пользователей и перехватывает ответы 401. и обменять токены перед выходом из системы. Обратите внимание, что таким образом маркеры обновления не предоставляются клиенту, и пользователи будут испытывать ту же аутентификацию, что и в нативных приложениях.
Fab 24 июль 2015, в 13:15
5

@ JoséF.Romaniello, когда вы обсуждаете генерацию случайной строки и ее хранение. Не могли бы вы уточнить? Вы имеете в виду, что храните на мобильном устройстве или на сервере? Что произойдет, если они получат имя устройства или эту случайную строку (при условии, что это на клиенте) Разве это не позволит им обойти любые токены, которые были отозваны?
TheJediCowboy 17 авг. 2015, в 15:20
0

Кроме того, чтобы уточнить ... маркер обновления, на который вы ссылаетесь ... это означает, что он не имеет срока действия как в Интернете, так и в мобильном?
TheJediCowboy 17 авг. 2015, в 15:28
11

@ JoséF.Romaniello В вашем примере веб-приложения для меня все имеет смысл, кроме необходимости хранить токен. Я думал, что прелесть JWT заключается в аутентификации без сохранения состояния, то есть веб-приложению НЕ нужно хранить токен, поскольку он подписан. Я бы подумал, что сервер может просто проверить действительность токена, убедиться, что он находится в пределах срока действия, а затем выпустить обновленный токен JWT. Не могли бы вы уточнить это? Может быть, я просто недостаточно понимаю JWT.
Lo-Tan 09 окт. 2015, в 18:56
3

@ JoséF.Romaniello У меня такой же вопрос, как и у Lo-Tan. Если мы храним токены в базе данных, чем она отличается от традиционных веб-сессий?
user1870400 20 окт. 2015, в 07:38
5

@ user1870400 Извините за путаницу, я имел в виду сторону клиента в браузере, как локальное хранилище или cookie.
José F. Romaniello 21 окт. 2015, в 16:04
7

Два вопроса / проблемы: 1- Случай с веб-приложением: почему токену с истекшим сроком не разрешено получать обновление? Скажем, мы установили короткий срок действия (1 час) и возобновляем вызовы на внутренний сервер, когда токен истекает, как вы сказали. 2- Есть ли проблемы с безопасностью при сохранении хешированного (со случайной солью) пароля в токене? Идея состоит в том, что если он есть, внутренний сервер может проверить сохраненный в БД пароль по запросу на обновление и отклонить запрос, если пароли не совпадают. Это будет охватывать изменение пароля приложения для мобильных и родных приложений, что позволит распространить решение на использование в мобильных устройствах.
psamaan 24 окт. 2015, в 05:46
0

@psamaan Ваш комментарий обнаруживает проблему с украденными устройствами, что похоже на логику при смене пароля. Я полагаю, что если у вас уже есть токен обновления, сохраненный на стороне сервера, для проверки, когда токен необходимо обновить, нет необходимости включать в токен хешированный пароль, поскольку вам достаточно будет просто удалить все предыдущие токены обновления пользователь после изменения пароля. Кроме того, вы получаете преимущество, заключающееся в том, что в вашем бэкэнде пользователь может проверять все свои открытые сеансы на основе маркеров обновления и может делать недействительными. Как и Facebook, Gmail делает
le0diaz 14 апр. 2016, в 14:35
1

@ le0diaz Я должен был уточнить, что я пытаюсь найти решение, в котором я не сохраняю токен обновления на бэкэнде и полагаюсь исключительно на клиентский JWT, причина в том, что я пытаюсь позволить бэкенду масштабироваться горизонтально без поддержки общего кэша (то есть полностью распределенной системы)
psamaan 15 апр. 2016, в 16:47
0

Но что, если у кого-то есть токен обновления, который никогда не истекает? Он будет иметь доступ к вашей учетной записи навсегда?
Vladimir 23 авг. 2016, в 14:53
0

@psamaan Некоторое время спустя, чем ты закончил? У меня такие же мысли, как и у вас, по тем же причинам. Путем помещения хэша пользовательского PW и областей в токен доступа, этот хэш можно сравнивать с текущими значениями в бэкэнде каждый раз, когда истекает токен доступа. Если эти значения не изменены, а учетная запись не заблокирована (и, возможно, токен доступа отсутствует в черном списке), токен с истекшим сроком действия достаточен для выпуска нового токена доступа. Это делает время истечения в токене доступа «сердцебиением», описывающим, как часто нужно проверять запрос к внутренней базе данных.
Andreas Lundgren 13 окт. 2016, в 08:17
1

для веб-приложения я не думаю, что обновление токена до его истечения решит любую проблему с безопасностью, но увеличит сложность. Сравните с токеном JWT с коротким временем истечения, он работает точно так же. использование незащищенного токена, чтобы получить другой незащищенный токен, который не имеет смысла для меня! Хотя я использую Auth0 ...
tyan 08 нояб. 2016, в 14:18
0

@ AndreasLundgren Я все еще думаю, что это хорошее решение. Я говорил с людьми, которым было очень неудобно хранить хешированный пароль в токене. Я не уверен, почему именно, так как наличие токена означает наличие пароля (или возможность его изменить) в любом случае в течение срока его действия. Более безопасным вариантом будет иметь второй, случайно сгенерированный «пароль» (аналогично идее токена обновления), который находится в полезной нагрузке токена доступа, и это проверяется на достоверность при обновлении. Вы изменили бы этот «пароль» при изменении пароля пользователя или, например, при отзыве доступа.
psamaan 23 нояб. 2016, в 18:49
0

@psamaan Я согласен. (В некоторых сервисах вы не можете изменить свой pw только с помощью токена, но изменение pw требует, чтобы пользователь снова ввел pw.) Я имел в виду хэш «соленого и хэшированного pw» + scope + accountStatus просто для того, чтобы избежать ошибок при регенерации случайный «токен обновления» при изменении этих значений. Но явно воссоздать токен случайного обновления - это аналогичное решение для записи.
Andreas Lundgren 23 нояб. 2016, в 20:41
0

@ JoséF.Romaniello В примере с веб-приложением вы сказали, что лучше всего «установить срок действия токена на одну неделю» - я вообще не могу понять, как установить срок действия маркера обновления - я думал, что они будут длиться вечно, если они были отозваны. Я немного смущен! Спасибо!
Steven Winston 13 дек. 2016, в 10:46
4

-1 Публичное API-интерфейс, который слепо переподписывает любой токен для продления срока его действия, - это плохо. Теперь все ваши токены имеют эффективный бесконечный срок действия. Акт подписания токена должен включать в себя соответствующие проверки подлинности для каждого утверждения, сделанного в этом токене во время подписания.
Phil 12 июнь 2017, в 02:24
0

Как установить срок действия токена на одну неделю и обновлять токен каждый раз, когда пользователь открывает веб-приложение, и каждый час. используя узел?
Internial 31 окт. 2017, в 01:45
0

@psamaan для вас, я думаю, вы можете делать то, что я делаю, когда мне нужно генерировать любой код восстановления: - создать строковое поле в базе данных; - генерировать UUIDv4 uuid (случайно); - удалить дефис ("-") из UUIDv4; - Base62 UUIDv4 для более короткого URL / гуманизированного кода; - зашифровать Base62 UUIDv4 без дефисов; - сохранить хеш bcrypt в базе данных; - отправьте Base62 как код для восстановления электронной почты, обновления токенов и т. д .; - получить код, использовать bcrypt для проверки его по хешу, хранящемуся в базе данных. Автоматизированный, 32 символа, URL дружественный, случайный пароль, который пользователь не знает / изменение carn.
Leonardo Dutra 16 нояб. 2017, в 14:56
0

Можно ли iat значение iat ("выдано в секундах с момента iat ") с помощью обновленного JWT (вы упоминаете, что значение exp должно быть обновлено, но как насчет iat ?)
The Red Pea 13 янв. 2018, в 19:22
1

Исходя из моего опыта, обновлять маркер каждый раз, когда пользователь открывает веб-приложение, - это не очень хорошая практика. При использовании одной вкладки приложения это будет хорошо, но когда вы используете несколько вкладок или несколько браузеров, это будет проблемой и вызовет конфликты токенов и отключит все остальные окна приложений, которые вы используете.
Roy G 22 июль 2018, в 08:18
0

Все говорят, что нужно получить новый токен после того, как токен доступа истек, используя токен обновления. Но с помощью просроченного токена я не могу обновить токен. Действительно ли возможно обновить токен, используя токен с истекшим сроком действия, или я должен вызвать запрос нового токена, прежде чем он истечет?
ashish 26 дек. 2018, в 10:44

Показать ещё 24 комментария