JWT Refresh Token

pytanie zadane 12 listopada 2020 w JavaScript przez LixI Nowicjusz (130 p.)

Cześć, bawię się ostation z JWT i nie mogę zrozumieć jednej rzeczy użytkownik logując się otrzymuje od serwera token i refresh token. I z tego co wiem dobrą praktyką jest aby token wygasał po upływie kilku minut bo może zostać wykradziony przez co inny użytkonik dostanie autoryzacje właściciela tokenu. I tu jest moje pytanie jeżeli zostanie wykradziony refresh token to osoba która wykradła ten token robiąc requesta na serwer otrzyma nowy token, który zautoryzuje go jako użytkownika od którego wykradł token. Dobrze to rozumiem czy gdzieś zrobiłem bład logiczny którego nie mogę się dopatrzeć?

1 odpowiedź

odpowiedź 12 listopada 2020 przez Ehlert Ekspert (212,670 p.)
edycja 12 listopada 2020 przez Ehlert

Dobrze przy czym:

access token na kilka minut to słabo. Powinien być ważny dłużej.
Refresh token trzymaj w bazie. Wtedy jeśli user zauważy jakieś podejrzane aktywności zawsze może wygasić token.

Wykraść token po httpsie nie jest tak łatwo. Polecam ustawić dla aplikacji odpowiednie wartości nagłówka CSP, aby chronić się przed XSSem.

3	komentarz 12 listopada 2020 przez niezalogowany Wykraść token po httpsie nie jest tak łatwo. Chyba, że trafiłeś na adres z reverse-proxy pod spodem

komentarz 14 listopada 2020 przez LixI Nowicjusz (130 p.)

@Ehlert, Dzęki za odpoweidź chciałem się też spytać czy jest jakaś strona na której mogę znaleźć wytyczne związane z obsługą JWT? bo pierwsze co mi się ostatnio rzuca w oczy to są osoby które zwracają Token jako header a są też takie które zwracają jako payload i nie jestem pewien czy jest na to jakaś standaryzacja czy jest to obojętne.