vi
new
0
Avatar
paudang @paudang
142 3 20
Đã đăng vào about 9 hours ago 4 phút đọc
55

Khi JWT bị đánh cắp: Cơ chế phòng thủ chuẩn Big Tech và sai lầm thường gặp của Developer.

Chào anh em,

Hãy tưởng tượng một kịch bản: Hệ thống của bạn bị xâm nhập. Hacker không đánh cắp Database, chúng chỉ lấy duy nhất một thứ: Refresh Token của một user VIP.

User phát hiện nghi vấn, họ đổi password, họ nhấn Logout trên trình duyệt. Họ nghĩ mình đã an toàn. Nhưng thực tế, hacker vẫn âm thầm "nằm vùng" (persistence) và trích xuất dữ liệu của user đó suốt nhiều tháng trời mà không bị phát hiện. Tại sao? Vì hệ thống của bạn chỉ biết verify() token, chứ không biết cách Stateless Invalidation (thu hồi quyền truy cập stateless).

Bài viết này không dành cho người mới bắt đầu. Đây là bài toán về Attack Vector và cách chúng ta triển khai Mitigation chuẩn Enterprise.

1. Lỗ hổng chết người: Sự hiện diện thầm lặng

Đa số tutorials hiện nay dạy bạn làm JWT theo kiểu "ném token vào không trung". Một khi token đã được ký (signed), nó là một thực thể độc lập. Nếu thiếu cơ chế thu hồi, một token có hạn 1 năm sẽ là một tấm vé VIP cho hacker suốt 1 năm đó, bất kể user có làm gì đi nữa.

Đây là lỗ hổng về Revocation List. Nếu bạn không có cách để "giết" một token đang còn hiệu lực, bạn đã thất bại trong việc thiết kế hệ thống bảo mật.

2. Giải pháp: Redis Blacklist & JTI (Stateless Invalidation)

Để giải quyết bài toán này mà không làm sụp đổ performance của hệ thống, chúng ta sử dụng JTI (JWT ID) kết hợp với Redis.

  • JTI: Mỗi token phải mang một định danh duy nhất.
  • Revocation List: Khi Logout, chúng ta không xóa token (vì không xóa được), mà chúng ta đưa JTI của nó vào một "danh sách đen" trên Redis.
  • Tối ưu TTL: Bí kíp ở đây là tính toán TTL (Time-To-Live) cho key trên Redis khớp chính xác với thời gian hết hạn còn lại của token. Điều này đảm bảo Redis không bao giờ bị phình to vô tội vạ. Đây là cách Big Tech cân bằng giữa SecurityInfrastructure Cost.

3. Cao trào: "Nuclear Revoke" (Reuse Detection)

Đây là cơ chế phòng vệ chủ động (Proactive Defense) cực đoan nhất mà mình triển khai trong v2.1.0: Refresh Token Rotation.

Khi một user dùng Refresh Token A để lấy cặp token B. Nếu sau đó, hệ thống lại nhận được Refresh Token A một lần nữa => Đây là bằng chứng đanh thép của một cuộc tấn công Reuse. Thay vì chỉ từ chối request, hệ thống sẽ thực thi lệnh "Nuclear Revoke".

Phân tích Code thực tế: Phản ứng hạt nhân trong Auth

Bạn có thể xem toàn bộ logic này (được sinh ra tự động từ nodejs-quickstart-structure) tại: authController.ts#L46

// AuthController.ts - Logic xử lý Refresh chuẩn Enterprise
async refresh(req: Request, res: Response) {
  try {
    const { refreshToken } = req.body;
    const decoded = JwtService.verifyRefreshToken(refreshToken);
    
    // 1. Kiểm tra JTI có tồn tại trong Whitelist trên Redis không?
    const cacheKey = `refresh_tokens:${decoded.id}`;
    let activeTokens = await cacheService.get<string[]>(cacheKey) || [];

    // --- BƯỚC QUYẾT ĐỊNH: PHÁT HIỆN REUSE TOKEN ---
    if (!activeJtis.includes(decoded.jti)) {
        logger.warn(`Security Breach: Session revoking for user ${decoded.id}`);
        await cacheService.del(cacheKey); // "NUCLEAR REVOKE" - Wipe toàn bộ session
        return res.status(401).json({ message: 'Critical: Session compromised' });
    }

    // --- XOAY VÒNG TOKEN (ROTATION) ---
    activeTokens = activeTokens.filter(t => t !== decoded.jti);
    const newTokens = JwtService.generateTokens({ id: decoded.id });
    
    activeTokens.push(newTokens.refreshJti);
    await cacheService.set(cacheKey, activeTokens, 7 * 24 * 60 * 60);

    res.json(newTokens);
  } catch (error) {
    next(error);
  }
}

4. Hiện thực hóa Mindset vào Scaffolding

Triển khai bộ logic này một cách thủ công cho mỗi dự án mới là một sự lãng phí tài nguyên và dễ sai sót. Toàn bộ mindset bảo mật khắc nghiệt này đã được mình hiện thực hóa và đóng gói trong bản v2.1.0 của dự án nodejs-quickstart-structure.

Thay vì ngồi code lại Revocation List hay Reuse Detection algorithm, bạn có thể scaffold nó ngay lập tức với sự chuẩn xác của một Senior Architect, hỗ trợ tới 5,280 biến thể kiến trúc khác nhau.

📌 Tài nguyên cho Architect

Backend bảo mật jwt javascript (nodejs) kiến trúc microservices WebSecurity

All rights reserved

Mục lục


Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí