Bezpieczeństwo refresh tokena w bazie danych JWT

pytanie zadane 26 lutego 2022 w Bezpieczeństwo, hacking przez Krzysio4224 Obywatel (1,690 p.)

Witam,

zawsze myślałem że refresh token zapisuje się w bazie danych, ostatnio doszły mnie słuchy że refresh token robi się podobnie jak access token żeby ograniczyć zapytania do bazy danych oraz dla bezpieczeństwa, bo nawet jakby baza danych wyciekła to nikt by nie dostał się do refresh tokenów. Z drugiej strony nie mogę znaleźć żadnych informacji w internecie dotyczących wykorzystywania refresh tokenu bez bazy danych, każdy wykorzystuje mechanizm z bazą danych. Jakie macie z tym doświadczenia ?

1 odpowiedź

odpowiedź 26 lutego 2022 przez Ehlert Ekspert (212,670 p.)

refresh token robi się podobnie jak access token żeby ograniczyć zapytania do bazy danych

Nie zgodzę się do końca. Flow z refresh tokenem pozwala Ci używać access tokena z krótkim czasem przydatności.

Trzymając refresh token w bazie masz listę aktywnych sesji i w razie potrzeby możesz kogoś wylogować.

nawet jakby baza danych wyciekła to nikt by nie dostał się do refresh tokenów.

Po co komu refresh tokeny, kiedy wyciekła baza danych?

komentarz 26 lutego 2022 przez Krzysio4224 Obywatel (1,690 p.)

Po co komu refresh tokeny, kiedy wyciekła baza danych?

właśnie sam się tak zastanawiałem po co komu refresh tokeny przy bazie danych, ale bardzo mnie takie podejście zastanowiło, ponieważ pare osób mi tak pisało że refresh token nie powinien być zapisywany do bazy danych.

Nie zgodzę się do końca. Flow z refresh tokenem pozwala Ci używać access tokena z krótkim czasem przydatności.

Trzymając refresh token w bazie masz listę aktywnych sesji i w razie potrzeby możesz kogoś wylogować.

też mi się tak wydaje że w bazie lepiej, w jaki sposób dałoby się osiągnąć wylogowanie użytkownika jeżeli token nie byłby zapisywany do bazy danych, moim zdaniem to mało możliwe.

komentarz 26 lutego 2022 przez Wiciorny Ekspert (270,190 p.)

widzę jeden "CASE" wyciek bazy np z danymi kont- powoduje, że masz hasła - > ale dalej zaszyfrowane, nie mając dostępu do kodowania, czy implementacji funkcji jest trudniej to odszyfrować, a mając refresh token ... odkodujesz to dynamicznie szybciej i bez problemowo.

I trzeba pamiętać że TOKEN, tokenowi nie równy i to kwestia tego: co zostało w nim zapisane? Bo tam mogą znajdować się :
Poświadczenia bezpieczeństwa sesji logowania i identyfikuje użytkownika, grupy użytkowników, uprawnienia użytkownika oraz, w niektórych przypadkach, konkretna aplikacja

komentarz 26 lutego 2022 przez Krzysio4224 Obywatel (1,690 p.)

widzę jeden "CASE" wyciek bazy np z danymi kont- powoduje, że masz hasła - > ale dalej zaszyfrowane, nie mając dostępu do kodowania, czy implementacji funkcji jest trudniej to odszyfrować, a mając refresh token ... odkodujesz to dynamicznie szybciej i bez problemowo.

jeżeli dałbym przy metodzie do zmiany hasła wymaganie podania starego hasła to jakby ktoś wykradł bazę z refresh tokenami to i tak są małe szanse że zmieni hasło, tak myślę. Z drugiej po wycieku bazy ktoś może się logować na konta i widzieć zawartość :/

komentarz 26 lutego 2022 przez Ehlert Ekspert (212,670 p.)

Nie łączył bym takich scenariuszy. JWT znajduje się w pierwszej warstwie aplikacji - strona kliencka. Baza danych to drugi koniec, strona serwerowa.

Jeśli ktoś uzyska dostęp do Twojej bazy, to swoich danych możesz szukać na forach tora - jeśli jest coś warta.