Какой смысл в refresh токене?

Question

Wentixon @Wentixon

JSON Web Token

Какой смысл в refresh токене?

Никак до конца не пойму, зачем все же нужны refresh токены.

Допустим, злоумышленник украл у нас acess token, который живет очень мало, скажем 15 минут. Ок, ему удастся недолго им попользоваться, а мы имея refresh token получим новый access token. С этим все понятно и логично.

Но что будет, если злоумышленник также украдет refresh token? И здесь я ничего не понимаю. Во-первых, почему если он украл access token, то у него нет возможности украсть и refresh token? Или большинство злоумышленников слишком глупые, увидев access token сразу пускают слюни и забывают, что им на самом деле нужен рефреш?

Если же злоумышленник украдет refresh token, он сможет им также пользоваться до его истечения, постоянно получая новую пару. Все говорят, что при логине пользователя, refresh token злоумышленника станет невалидным. Получается нам надо хранить его где то в хранилище и при каждом новом логине удалять? Ок, тогда как при логине не разлогиниваться на других устройствах, если нам надо удалить все рефреш токены?

Вообщем помогите разобраться с этой абракадаброй ;)

Вопрос задан более трёх лет назад
4976 просмотров

1 комментарий

Подписаться 13 Средний 1 комментарий

Решения вопроса 1

4 комментария

Wentixon @Wentixon Автор вопроса

Вопрос в том, если его через сеть перехватят. Вы опять же оптимистично утверждаете, что рефреш токен никогда никто не получит.

Второй уровень защиты — JWT ставится на .example.com, в то время как refresh токен ставится только на auth.example.com

Это вообще не понял. Рефреш токен и так должен взаимодействовать только с сервисом авторизации.

т.к. не будет доступен никому кроме сервиса авторизации

Никому.. кроме хакера?

Написано более трёх лет назад
Roman K @deliro

Wentixon, через сеть? Очевидно, вам нужно использовать TLS, иначе перехватить можно что угодно.

Написано более трёх лет назад
Wentixon @Wentixon Автор вопроса

Roman Kitaev, ну допустим, единственный способ украсть аксесс токен через xss, если он лежит в local storage. Но наличие xss это уже совсем другая серьезная проблема, с помощью которой можно не только токен украсть, но и много других неприятных вещей сделать, так что таких дырок быть не должно в принципе.

Тогда приходим опять к тому же, почему тогда не сделать аксесс токен долгоживущим и тщательно оберегать его от хакеров? Тем более говоря о других клиентах, помимо браузера, там вообще нет всего того, что вы написали (xss, cookies)

Написано более трёх лет назад
Dimonchik @dimonchik2013

Wentixon, еще есть бекенд аналитика, токен больше для этого

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 73 просмотра
0

ответов
Фронтенд

+1 ещё

Простой
Как понять токен рефрешится или нет?
- 1 подписчик
- 11 апр.
- 64 просмотра
1

ответ
Java

+2 ещё

Простой
Как создать jwt токен и подписать его приватным сертификатом по алгоритму RSA?
- 1 подписчик
- 04 апр.
- 75 просмотров
1

ответ
Linux

+2 ещё

Простой
Чем конвертировать TLS в JWT токен (tls2jwt)?
- 1 подписчик
- 28 мар.
- 93 просмотра
2

ответа
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 82 просмотра
2

ответа
JSON Web Token

Средний
Как настроить аутентификацию в NATS WebSocket по JWT токенам?
- 1 подписчик
- 17 мар.
- 72 просмотра
0

ответов
Django Rest Framework

+1 ещё

Простой
Как правильно решить ошибку с RefreshToken?
- 1 подписчик
- 11 мар.
- 78 просмотров
0

ответов
Python

+1 ещё

Простой
Почему flask_jwt_extended выдаёт ошибку при импортировании?
- 1 подписчик
- 29 февр.
- 76 просмотров
0

ответов
Symfony

+1 ещё

Простой
Какая сущность в symfony security и Lexik JWT Bundle проверяет логин/пароль при входе?
- 1 подписчик
- 19 янв.
- 54 просмотра
1

ответ
PHP

+1 ещё

Простой
Использовать ли jwt-токены для межсерверной аутентификации?
- 1 подписчик
- 26 дек. 2023
- 91 просмотр
2

ответа
Показать ещё Загружается…

Консультант 1С (стажер) по направлению

Пять с плюсом • Смоленск

от 40 000 ₽

Php-developer / full stack developer

Aporia • Севастополь

от 100 000 до 120 000 ₽

Менеджер по персоналу / Рекрутер

.White Code • Санкт-Петербург

от 55 000 до 85 000 ₽

Обучение моделированию процесса дуговой наплавки в CAE

25 апр. 2024, в 18:14

1500 руб./в час

Реализовать форму регистрации и авторизации на React

25 апр. 2024, в 18:13

1000 руб./за проект

Настроить и запустить email кампанию на Gmail

25 апр. 2024, в 17:54

30000 руб./за проект

Вот здесь есть неплохое описание

Answer 1 · 2019-01-13 14:11:16

Но что будет, если злоумышленник также украдет refresh token?

Не украдёт. JWT может быть не-httpOnly, чтобы его мог читать фронтенд. Следовательно, JWT можно украсть через XSS-дырку. refresh token должен быть всегда httpOnly и читать его может только сервер.

Второй уровень защиты — JWT ставится на .example.com, в то время как refresh токен ставится только на auth.example.com. Таким образом, даже если любой из твоих сервисов (кроме сервиса авторизации) будет скомпрометирован, refresh токен останется защищённым, т.к. не будет доступен никому кроме сервиса авторизации.

Да, это всё подразумевает, что как минимум refresh-токен нужно хранить защищённым от XSS, то есть точно не в localStorage, а в куках или чём-то подобном.

Answer 2 · 2019-01-13 21:35:03

Access token постоянно гуляет по проводам, перехватить его сравнительно легко и поэтому его часто меняют. Refresh token пересылается существенно реже, вторая линия обороны, глубокий тыл.)) Вот такая простая логика не годится? А так то взламывается всё...

Answer 3 · 2019-01-17 07:30:51

Вот здесь JavaScript.Ninja подробно всё рассказывает. А конкретно на 13:30 он отвечает на вопрос "Какой смысл в refresh токене?"

Какой смысл в refresh токене?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт