• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Bezpieczeństwo refresh tokena w bazie danych JWT

Object Storage Arubacloud
0 głosów
443 wizyt
pytanie zadane 26 lutego 2022 w Bezpieczeństwo, hacking przez Krzysio4224 Obywatel (1,690 p.)
Witam,

zawsze myślałem że refresh token zapisuje się w bazie danych, ostatnio doszły mnie słuchy że refresh token robi się podobnie jak access token żeby ograniczyć zapytania do bazy danych oraz dla bezpieczeństwa, bo nawet jakby baza danych wyciekła to nikt by nie dostał się do refresh tokenów. Z drugiej strony nie mogę znaleźć żadnych informacji w internecie dotyczących wykorzystywania refresh tokenu bez bazy danych, każdy wykorzystuje mechanizm z bazą danych. Jakie macie z tym doświadczenia ?

1 odpowiedź

+2 głosów
odpowiedź 26 lutego 2022 przez Ehlert Ekspert (212,990 p.)

refresh token robi się podobnie jak access token żeby ograniczyć zapytania do bazy danych

Nie zgodzę się do końca. Flow z refresh tokenem pozwala Ci używać access tokena z krótkim czasem przydatności.

Trzymając refresh token w bazie masz listę aktywnych sesji i w razie potrzeby możesz kogoś wylogować.

nawet jakby baza danych wyciekła to nikt by nie dostał się do refresh tokenów.

Po co komu refresh tokeny, kiedy wyciekła baza danych? laugh

komentarz 26 lutego 2022 przez Krzysio4224 Obywatel (1,690 p.)

Po co komu refresh tokeny, kiedy wyciekła baza danych? laugh

właśnie sam się tak zastanawiałem po co komu refresh tokeny przy bazie danych, ale bardzo mnie takie podejście zastanowiło, ponieważ pare osób mi tak pisało że refresh token nie powinien być zapisywany do bazy danych.

Nie zgodzę się do końca. Flow z refresh tokenem pozwala Ci używać access tokena z krótkim czasem przydatności.

Trzymając refresh token w bazie masz listę aktywnych sesji i w razie potrzeby możesz kogoś wylogować.

też mi się tak wydaje że w bazie lepiej, w jaki sposób dałoby się osiągnąć wylogowanie użytkownika jeżeli token nie byłby zapisywany do bazy danych, moim zdaniem to mało możliwe.

komentarz 26 lutego 2022 przez Wiciorny Ekspert (272,390 p.)
widzę jeden "CASE" wyciek bazy np z danymi kont- powoduje, że masz hasła - > ale dalej zaszyfrowane, nie mając dostępu do kodowania, czy implementacji funkcji jest trudniej to odszyfrować, a mając refresh token ... odkodujesz to dynamicznie szybciej i bez problemowo.

I trzeba pamiętać że TOKEN, tokenowi nie równy i to kwestia tego: co zostało w nim zapisane?  Bo tam mogą znajdować się :
Poświadczenia bezpieczeństwa sesji logowania i identyfikuje użytkownika, grupy użytkowników, uprawnienia użytkownika oraz, w niektórych przypadkach, konkretna aplikacja
komentarz 26 lutego 2022 przez Krzysio4224 Obywatel (1,690 p.)

widzę jeden "CASE" wyciek bazy np z danymi kont- powoduje, że masz hasła - > ale dalej zaszyfrowane, nie mając dostępu do kodowania, czy implementacji funkcji jest trudniej to odszyfrować, a mając refresh token ... odkodujesz to dynamicznie szybciej i bez problemowo.

 jeżeli dałbym przy metodzie do zmiany hasła wymaganie podania starego hasła to jakby ktoś wykradł bazę z refresh tokenami to i tak są małe szanse że zmieni hasło, tak myślę. Z drugiej po wycieku bazy ktoś może się logować na konta i widzieć zawartość :/

 

 

komentarz 26 lutego 2022 przez Ehlert Ekspert (212,990 p.)
Nie łączył bym takich scenariuszy. JWT znajduje się w pierwszej warstwie aplikacji - strona kliencka. Baza danych to drugi koniec, strona serwerowa.

Jeśli ktoś uzyska dostęp do Twojej bazy, to swoich danych możesz szukać na forach tora - jeśli jest coś warta.

Podobne pytania

+1 głos
1 odpowiedź 441 wizyt
0 głosów
1 odpowiedź 295 wizyt
0 głosów
0 odpowiedzi 164 wizyt

92,693 zapytań

141,606 odpowiedzi

320,106 komentarzy

62,051 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...