vi
new
Avatar
TranTranTran
Yêu cầu thg 10 18, 2023 4:59 SA
Yêu cầu thg 10 18, 2023 4:59 SA 1085 1 5
  • 1085 1 5
+2

Refresh Token - JWT

jwtrefreshtoken
Chia sẻ
  • 1085 1 5

Chào các anh chị, hiện tại em đang dùng JWT để xác thực cho web (express + reactjs) Theo như em hiểu thì nó hoạt động như sau:

  • Mỗi lần user đăng nhập thì server sẽ tạo access và refresh token (refresh token lưu ở Database) rồi gửi access token và refresh token về client rồi lưu ở local storage của client
  • Access token có thời hạn trong thời gian ngắn (ví dụ 10p) để nếu bị mất thì người khác sẽ chỉ truy cập được dữ liệu trong 10p.
  • Hết 10p thì web user sẽ dùng refresh token để tạo mới access token để user không phải login lại nhiều lần.

Em có thắc mắc là access token và refresh token để lưu ở local storage nên nếu bị ai đó trộm được refresh token thì họ có thể dùng refresh token đó để gọi mới access token rồi truy cập tài nguyên từ Server => Vậy thì việc ta để access token có thời hạn ngắn hoàn toàn vô ích? Vậy tại sao ta lại cần tới 2 loại token vậy ạ, chỉ cần một loại token vừa dùng dùng để xác thực như access token vừa có thời hạn lâu và lưu ở DB như refresh token, nếu có bị aii đó trộm token thì chỉ cần xóa nó ở DB là được (vì nếu dùng refresh token thì cũng có nguy cơ tương tự)?

Hi vọng được các anh chị giải đáp thắc mắc. Em chân thành cảm ơn.

image.png

Avatar
TranTranTran @TranTranTran
7 0 1 0
Avatar Quý @quy96
thg 10 18, 2023 5:48 CH

Haha. Mới hôm qua đi phỏng vấn gặp trúng JWT này. Để lưu lại mai mốt đọc.

Thêm một bình luận

5 CÂU TRẢ LỜI

Avatar
Moe Moe vdsnvdskjvd isi ei fkesf ké khieafe
Đã trả lời thg 10 20, 2023 12:58 CH
Đã trả lời thg 10 20, 2023 12:58 CH
Đã được chấp nhận
+2

Cứ coi như nó chiếm được cả AT và RT, nhưng khi dùng hết time của AT thì nó làm mới cả AT và RT luôn ( AT date mới, còn RT vẫn date như cũ ). Thằng hacker có RT cũ cx có dùng được nữa đâu. Bonus: lưu token vào cookie, ko dùng local storage

Chia sẻ
Avatar
Moe Moe vdsnvdskjvd isi ei fkesf ké khieafe @moemoe
130 0 10 5
Avatar TranTranTran @TranTranTran
thg 10 23, 2023 4:01 CH

Giả sử hacker nó chiếm được AT và RT, nó có thể dùng RT đó để lấy AT và RT mới mà anh nhỉ?

Avatar Moe Moe vdsnvdskjvd isi ei fkesf ké khieafe @moemoe
thg 10 24, 2023 2:05 SA

@TranTranTran đúng, nhưng chỉ cần user là ng đổi rt trước, hoặc chỉ cần user login lại là có rt mới ngay, khi đó rt của hack là vô dụng

Thêm một bình luận
Avatar
Minh Hùng Trần
Đã trả lời thg 10 19, 2023 3:07 SA
Đã trả lời thg 10 19, 2023 3:07 SA
+2

Thực ra để bảo vệ refresh token cũng không khó như bạn nghĩ đâu đây là 2 cách mình thường làm"

  • Thêm xác thực app-id, api-key (có thể thêm cơ chế xác thực vào middleware) kiểm tra app-id đó mà server cấp cho front-end, có thể hash lại và gửi thông qua body. Nếu qua header thì dùng sha256 và lưu salt ở server bạn.
  • Kiểm tra ip đc cấp phép không,
  • Bonus: Thường thì truy cập qua browser nếu có request sẽ có User-Agent ở header. Ví dụ : " Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/123.45 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/123.45" .Kiểm tra xem browser gì, nếu ko thì sẽ là từ code, postman hay cURL thì ban luôn refresh token đó
Chia sẻ
Avatar
Minh Hùng Trần @superhero886969
2 0 0 1
Avatar Minh Tuấn Ngụy @minhtuan.nguy
thg 10 19, 2023 3:08 CH

Thêm xác thực app-id, api-key (có thể thêm cơ chế xác thực vào middleware) kiểm tra app-id đó mà server cấp cho front-end, có thể hash lại và gửi thông qua body. Nếu qua header thì dùng sha256 và lưu salt ở server bạn.

với app-id, api-key được lưu ở local storage thì vẫn lấy được mà bạn

Kiểm tra ip đc cấp phép không,

cái này là filter theo IP rồi, giờ dịch vụ public cho cộng đồng sử dụng thì làm sao dùng cách này được, chỉ hiệu quả ở 1 số trường hợp

Bonus: Thường thì truy cập qua browser nếu có request sẽ có User-Agent ở header. Ví dụ : " Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/123.45 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/123.45" .Kiểm tra xem browser gì, nếu ko thì sẽ là từ code, postman hay cURL thì ban luôn refresh token đó

Postman cũng fake được User-Agent, điều gì bạn đảm bảo nó k phải từ ứng dụng khác ngoài trình duyệt 😂

Avatar Minh Hùng Trần @superhero886969
thg 10 20, 2023 4:27 SA

Theo e với chức năng xác thực thì có thể set cookies samesite và tùy yêu cầu để strict hay lax. Nếu bác có kinh nghiệm tốt hơn về bảo mật refresh token thì mong bác chỉ giáo với 😁

Thêm một bình luận
Avatar
Trần Xuân Lộc
Đã trả lời thg 10 21, 2023 2:14 SA
Đã trả lời thg 10 21, 2023 2:14 SA
0

Lập luận của bạn đúng. Tuy nhiên, bạn có thể hình dung như thế này

RT và AT là 2 cái chìa khóa cửa nhà bạn, AT luôn mang theo người, RT để ở nhà để backup. AT thì bạn luôn mang theo người và đi ra ngoài thì khả năng bị lộ là cao hơn cho nên cần để thời gian có hiệu lực ngắn để kẻ gian chỉ lợi dụng đến khi AT hết hạn thì thôi. RT chỉ thực hiện chức năng backup khi AT có vấn đề. => Mỗi loại token thì thực hiện đúng mục đích của nó

Chia sẻ
Avatar
Trần Xuân Lộc @tranxuanloc1711
209 1 0 1
Thêm một bình luận
Avatar
Nguyễn Văn Trường
Đã trả lời thg 5 20, 2:08 SA
Đã trả lời thg 5 20, 2:08 SA
0

Hệ thống nào rồi cũng có hacker được mà

Chia sẻ
Avatar
Nguyễn Văn Trường @Truong23523
19 0 1 9
Thêm một bình luận
Avatar
Hoang Tam Le
Đã trả lời thg 10 1, 2:48 SA
Đã trả lời thg 10 1, 2:48 SA
0

Hi mn, mình có tìm hiểu và nghiên cứu một tí về refresh token JWT, và cách mình đang làm như sau:

Giải pháp này bao gồm hai lớp mã hóa chính: Tạo khóa AES, Mã hóa RSA để bảo vệ khóa AES. Mã hóa AES để mã hóa mã thông báo làm mới thực tế và ID thiết bị. Gửi các thông tin đã được mã hoá về server. Máy chủ sẽ giải mã khóa, sau đó decode refresh token, xác thực các thông tin có trùng khớp không, nếu hợp lệ sẽ tạo mã mới.

Mọi người có thể đọc thêm blog này để hiểu rõ hơn flow cũng như những điểm về security nhé. https://blog.thnkandgrow.com/implementing-a-custom-jwt-refresh-token-strategy-with-aes-and-rsa-encryption/

Chia sẻ
Avatar
Hoang Tam Le @kokorolee
7 1 0 1
Thêm một bình luận
Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí