JWT (JSON वेब टोकन) समाप्ति की स्वचालित लम्बी अवधि

मैं JWT- आधारित प्रमाणीकरण को हमारे नए REST API पर लागू करना चाहूंगा। लेकिन चूंकि समाप्ति टोकन में सेट है, तो क्या इसे स्वचालित रूप से लम्बा करना संभव है? मैं नहीं चाहता कि उपयोगकर्ता हर X मिनट के बाद साइन इन करें, यदि वे उस अवधि में एप्लिकेशन का सक्रिय रूप से उपयोग कर रहे थे। यह एक बड़ा UX विफल होगा।

लेकिन समय सीमा समाप्त होने से एक नया टोकन बनता है (और यह समाप्त होने तक पुराना अभी भी वैध है)। और प्रत्येक अनुरोध के बाद एक नया टोकन बनाना मेरे लिए मूर्खतापूर्ण लगता है। जब एक से अधिक टोकन एक ही समय में मान्य हों, तो सुरक्षा समस्या जैसा लगता है। बेशक मैं एक ब्लैकलिस्ट का उपयोग कर पुराने इस्तेमाल को अमान्य कर सकता हूं लेकिन मुझे टोकन स्टोर करने की आवश्यकता होगी। और JWT के लाभों में से एक भंडारण नहीं है।

मैंने पाया कि कैसे Auth0 ने इसे हल किया। वे न केवल JWT टोकन बल्कि एक ताज़ा टोकन का उपयोग करते हैं: https://docs.auth0.com/refresh-token

लेकिन फिर, इसे (Auth0 के बिना) लागू करने के लिए मुझे ताज़ा टोकन स्टोर करने और उनकी समाप्ति बनाए रखने की आवश्यकता होगी। फिर असली फायदा क्या है? केवल एक टोकन क्यों नहीं है (JWT नहीं) और सर्वर पर समाप्ति को बनाए रखें?

क्या अन्य विकल्प हैं? क्या JWT का उपयोग इस परिदृश्य के लिए अनुकूल नहीं है?

मैं Auth0 पर काम करता हूं और मैं रिफ्रेश टोकन फीचर के डिजाइन में शामिल था।

यह सब आवेदन के प्रकार पर निर्भर करता है और यहां हमारा अनुशंसित दृष्टिकोण है।

वेब अनुप्रयोग

समाप्ति से पहले टोकन को रीफ्रेश करना एक अच्छा पैटर्न है।

टोकन समाप्ति को एक सप्ताह के लिए सेट करें और हर बार टोकन को रीफ़्रेश करें जब उपयोगकर्ता वेब एप्लिकेशन और हर एक घंटे को खोले। यदि कोई उपयोगकर्ता एक सप्ताह से अधिक समय तक आवेदन नहीं खोलता है, तो उन्हें फिर से लॉगिन करना होगा और यह स्वीकार्य वेब एप्लिकेशन है UX।

टोकन को रीफ्रेश करने के लिए आपके एपीआई को एक नया एंडपॉइंट की आवश्यकता होती है, जो कि एक वैध नहीं, एक्सपायर्ड जेडब्ल्यूटी को प्राप्त करता है और नए एक्सप्रेशन फील्ड के साथ उसी हस्ताक्षरित जेडब्ल्यूटी को लौटाता है। तब वेब एप्लिकेशन टोकन को कहीं स्टोर करेगा।

मोबाइल / नेटिव एप्लिकेशन

अधिकांश देशी एप्लिकेशन एक बार और केवल एक बार लॉगिन करते हैं।

विचार यह है कि ताज़ा टोकन कभी भी समाप्त नहीं होता है और इसे हमेशा एक वैध JWT के लिए एक्सचेंज किया जा सकता है।

एक टोकन के साथ समस्या जो कभी समाप्त नहीं होती है वह कभी नहीं होती है इसका मतलब नहीं है। यदि आप अपना फोन खो देते हैं तो आप क्या करते हैं? तो, इसे उपयोगकर्ता द्वारा किसी भी तरह पहचाने जाने की आवश्यकता है और एप्लिकेशन को पहुंच को रद्द करने का एक तरीका प्रदान करना होगा। हमने डिवाइस के नाम का उपयोग करने का निर्णय लिया, उदाहरण के लिए "मेरियो का आईपैड"। तब उपयोगकर्ता एप्लिकेशन पर जा सकता है और "मेरियो के आईपैड" तक पहुंच को रद्द कर सकता है।

एक और दृष्टिकोण विशिष्ट घटनाओं पर ताज़ा टोकन को रद्द करना है। एक दिलचस्प घटना पासवर्ड बदल रही है।

हम मानते हैं कि JWT इन उपयोग के मामलों के लिए उपयोगी नहीं है, इसलिए हम एक यादृच्छिक उत्पन्न स्ट्रिंग का उपयोग करते हैं और हम इसे अपने पक्ष में संग्रहीत करते हैं।

उस स्थिति में जहां आप स्वयं को हैंडल करते हैं (जैसे कि किसी प्रदाता जैसे Auth0 का उपयोग न करें), निम्नलिखित काम कर सकता है:

1. 15W कहना, अपेक्षाकृत कम समाप्ति के साथ जेडब्ल्यूटी टोकन जारी करें।
2. आवेदन किसी भी लेन-देन की आवश्यकता से पहले टोकन समाप्ति की तारीख टोकन की जांच करता है (टोकन में समाप्ति की तारीख शामिल है)। यदि टोकन समाप्त हो गया है, तो यह पहले एपीआई को टोकन को 'रिफ्रेश' करने के लिए कहता है (यह UX के लिए पारदर्शी रूप से किया जाता है)।
3. एपीआई को टोकन रिफ्रेश रिक्वेस्ट मिलती है, लेकिन पहले यूजर डेटाबेस को यह देखने के लिए चेक करता है कि क्या उस यूजर प्रोफाइल (टोकन में यूजर आईडी हो सकता है) के खिलाफ 'reauth ’फ्लैग सेट किया गया है। यदि ध्वज मौजूद है, तो टोकन ताज़ा करने से इनकार कर दिया जाता है, अन्यथा एक नया टोकन जारी किया जाता है।
4. दोहराएँ।

डेटाबेस बैकेंड में 'reauth' ध्वज तब सेट किया जाएगा, उदाहरण के लिए, उपयोगकर्ता ने अपना पासवर्ड रीसेट कर दिया है। जब उपयोगकर्ता अगली बार लॉग इन करता है तो ध्वज हटा दिया जाता है।

इसके अलावा, मान लें कि आपकी कोई नीति है जिसके तहत उपयोगकर्ता को प्रत्येक 72hrs में कम से कम एक बार लॉगिन करना होगा। उस स्थिति में, आपका API टोकन रीफ़्रेश लॉजिक उपयोगकर्ता डेटाबेस से उपयोगकर्ता की अंतिम लॉगिन तिथि भी जाँच करेगा और उस आधार पर टोकन ताज़ा करने से इनकार / अनुमति दे सकता है।

बैकएंड में Restful apis के साथ अपने एप्लिकेशनों को HTML5 में ले जाने पर मैं चारों ओर से छेड़छाड़ कर रहा था। जो समाधान मैं लेकर आया, वह था:

1. क्लाइंट को सफल लॉगिन पर 30 मिनट (या सामान्य सर्वर साइड सत्र समय) के सत्र समय के साथ एक टोकन जारी किया जाता है।
2. एक क्लाइंट-साइड टाइमर को एक सेवा को कॉल करने के लिए बनाया गया है ताकि वह समय समाप्त होने से पहले टोकन को नवीनीकृत कर सके। नया टोकन भविष्य की कॉल में मौजूदा की जगह लेगा।

जैसा कि आप देख सकते हैं, यह लगातार ताज़ा अनुरोधों को कम करता है। यदि उपयोगकर्ता नए सिरे से टोकन कॉल शुरू होने से पहले ब्राउज़र / ऐप को बंद कर देता है, तो पिछला टोकन समय समाप्त हो जाएगा और उपयोगकर्ता को फिर से लॉगिन करना होगा।

उपयोगकर्ता की निष्क्रियता को पूरा करने के लिए एक अधिक जटिल रणनीति को लागू किया जा सकता है (उदाहरण के लिए एक खोला ब्राउज़र टैब उपेक्षित)। उस स्थिति में, नवीनीकृत टोकन कॉल में अपेक्षित समाप्ति समय शामिल होना चाहिए जो निर्धारित सत्र समय से अधिक नहीं होना चाहिए। एप्लिकेशन को तदनुसार अंतिम उपयोगकर्ता इंटरैक्शन का ट्रैक रखना होगा।

मुझे लंबी समय सीमा समाप्त करने का विचार पसंद नहीं है, इसलिए यह दृष्टिकोण कम अनुप्रयोगों के साथ अच्छी तरह से काम नहीं कर सकता है, जिसमें कम प्रमाणीकरण की आवश्यकता होती है।

JWTs को अमान्य करने के लिए एक वैकल्पिक समाधान, बैकएंड पर किसी भी अतिरिक्त सुरक्षित भंडारण के बिना, jwt_versionउपयोगकर्ता तालिका पर एक नया पूर्णांक स्तंभ लागू करना है । यदि उपयोगकर्ता मौजूदा टोकन को लॉग आउट या समाप्त करना चाहता है, तो वे बस jwt_versionक्षेत्र में वृद्धि करते हैं।

एक नया JWT जेनरेट jwt_versionकरते समय, JWT पेलोड में एनकोड करें , वैकल्पिक रूप से पहले से वैल्यू बढ़ाकर अगर नया JWT बाकी सभी को बदलना चाहिए।

जब जेडब्ल्यूटी को मान्य किया जाता है, तो jwt_versionक्षेत्र की तुलना में user_idऔर प्राधिकरण के साथ तुलना की जाती है , अगर यह मेल खाता है।

अच्छा सवाल- और सवाल में ही जानकारी का खजाना है।

लेख रीफ्रेश टोकन: जब उनका उपयोग करने के लिए और वे कैसे JWTs के साथ बातचीत इस परिदृश्य के लिए एक अच्छा विचार देता है। कुछ बिंदु हैं: -

• ताज़ा टोकन एक नई पहुँच टोकन प्राप्त करने के लिए आवश्यक जानकारी ले जाता है।
• ताज़ा टोकन भी समाप्त हो सकते हैं लेकिन लंबे समय तक जीवित रहते हैं।
• ताज़ा टोकन आमतौर पर सख्त भंडारण आवश्यकताओं के अधीन होते हैं ताकि यह सुनिश्चित हो सके कि वे लीक नहीं हुए हैं।
• उन्हें प्राधिकरण सर्वर द्वारा ब्लैकलिस्ट भी किया जा सकता है।

इस पर भी नजर डालें Cort0 / कोणीय-jwt कोणीयज

वेब एपीआई के लिए। ASP.NET .NET वेब एपीआई 2 और ओवेन का उपयोग करके AngularJS App में OAuth Refresh टोकन सक्षम करें पढ़ें

मैंने वास्तव में एपीआई के लिए एक क्लाइंट लाइब्रेरी बनाने के लिए गूज़ल क्लाइंट का उपयोग करके पीएचपी में इसे लागू किया था, लेकिन अवधारणा को अन्य प्लेटफार्मों के लिए काम करना चाहिए।

असल में, मैं दो टोकन जारी करता हूं, एक छोटा (5 मिनट) एक और एक लंबा जो एक सप्ताह के बाद समाप्त हो जाता है। क्लाइंट लाइब्रेरी शॉर्ट टोकन के एक रिफ्रेश का प्रयास करने के लिए मिडलवेयर का उपयोग करती है अगर उसे कुछ अनुरोध के लिए 401 की प्रतिक्रिया मिलती है। यह फिर से मूल अनुरोध का प्रयास करेगा और यदि यह ताज़ा करने में सक्षम था, तो उपयोगकर्ता को पारदर्शी रूप से सही प्रतिक्रिया मिलती है। यदि यह विफल रहा, तो यह उपयोगकर्ता को 401 तक ही भेजेगा।

यदि छोटा टोकन समाप्त हो गया है, लेकिन फिर भी प्रामाणिक और लंबा टोकन वैध और प्रामाणिक है, तो यह सेवा पर एक विशेष समापन बिंदु का उपयोग करके लघु टोकन को ताज़ा करेगा कि लंबे टोकन प्रामाणिकता (यह एकमात्र ऐसी चीज है जिसके लिए इसका उपयोग किया जा सकता है)। इसके बाद नए लॉन्ग टोकन प्राप्त करने के लिए शॉर्ट टोकन का उपयोग किया जाएगा, जिससे हर बार एक और सप्ताह में इसे बढ़ाकर शॉर्ट टोकन को रिफ्रेश किया जा सकेगा।

यह दृष्टिकोण हमें अधिकतम 5 मिनट के भीतर पहुंच को रद्द करने की अनुमति देता है, जो टोकन के एक ब्लैकलिस्ट को स्टोर किए बिना हमारे उपयोग के लिए स्वीकार्य है।

देर से संपादित करें: मेरे सिर में ताज़ा होने के बाद इस महीने फिर से पढ़ना, मुझे यह इंगित करना चाहिए कि आप शॉर्ट टोकन को ताज़ा करते समय पहुंच को रद्द कर सकते हैं क्योंकि यह अधिक महंगी कॉल के लिए एक अवसर देता है (जैसे कि उपयोगकर्ता को देखने के लिए डेटाबेस पर कॉल करें आपकी सेवा में हर एक कॉल पर इसके लिए भुगतान किए बिना) पर प्रतिबंध लगा दिया गया है।

नीचे आपके JWT पहुँच टोकन को रद्द करने के चरण दिए गए हैं:

1) जब आप लॉगिन करते हैं, तो क्लाइंट के जवाब में 2 टोकन (एक्सेस टोकन, रिफ्रेश टोकन) भेजें।
2) एक्सेस टोकन का एक्सपायरी टाइम कम होगा और रिफ्रेश का लंबा एक्सपायरी टाइम होगा।
3) ग्राहक (फ्रंट एंड) अपने स्थानीय भंडारण में ताज़ा टोकन स्टोर करेगा और कुकीज़ में टोकन एक्सेस करेगा।
4) ग्राहक कॉलिंग एप के लिए एक्सेस टोकन का उपयोग करेगा। लेकिन जब यह समाप्त हो जाता है, तो स्थानीय भंडारण से ताज़ा टोकन चुनें और नया टोकन प्राप्त करने के लिए ऑवर सर्वर एप को कॉल करें।
5) आपके ऑर्ट सर्वर में एक एपीआई होगा जो ताज़ा टोकन स्वीकार करेगा और इसकी वैधता की जाँच करेगा और एक नया एक्सेस टोकन लौटाएगा।
6) एक बार ताज़ा टोकन समाप्त हो जाने पर, उपयोगकर्ता लॉग आउट हो जाएगा।

कृपया मुझे बताएं कि यदि आपको अधिक जानकारी की आवश्यकता है, तो मैं कोड (जावा + स्प्रिंग बूट) भी साझा कर सकता हूं।

जेडब्ल्यूटी-autorefresh

यदि आप नोड (प्रतिक्रिया / रिडक्स / यूनिवर्सल जेएस) का उपयोग कर रहे हैं तो आप स्थापित कर सकते हैं npm i -S jwt-autorefresh।

यह लाइब्रेरी शेड्यूल टोकन एक्सपायरिंग (टोकन में एन्कोड किए गए एक्सप्रैस के आधार पर) से कुछ सेकंड पहले की गणना की गई उपयोगकर्ता की गणना में JWT टोकन का रिफ्रेश करती है। इसमें एक व्यापक परीक्षण सूट है और किसी भी अजीब गतिविधि को सुनिश्चित करने के लिए काफी कुछ शर्तों के लिए जांच की जाती है, जो आपके पर्यावरण से गलतफहमियों के बारे में एक वर्णनात्मक संदेश के साथ है।

पूर्ण उदाहरण कार्यान्वयन

import autorefresh from 'jwt-autorefresh'

/** Events in your app that are triggered when your user becomes authorized or deauthorized. */
import { onAuthorize, onDeauthorize } from './events'

/** Your refresh token mechanism, returning a promise that resolves to the new access tokenFunction (library does not care about your method of persisting tokens) */
const refresh = () => {
  const init =  { method: 'POST'
                , headers: { 'Content-Type': `application/x-www-form-urlencoded` }
                , body: `refresh_token=${localStorage.refresh_token}&grant_type=refresh_token`
                }
  return fetch('/oauth/token', init)
    .then(res => res.json())
    .then(({ token_type, access_token, expires_in, refresh_token }) => {
      localStorage.access_token = access_token
      localStorage.refresh_token = refresh_token
      return access_token
    })
}

/** You supply a leadSeconds number or function that generates a number of seconds that the refresh should occur prior to the access token expiring */
const leadSeconds = () => {
  /** Generate random additional seconds (up to 30 in this case) to append to the lead time to ensure multiple clients dont schedule simultaneous refresh */
  const jitter = Math.floor(Math.random() * 30)

  /** Schedule autorefresh to occur 60 to 90 seconds prior to token expiration */
  return 60 + jitter
}

let start = autorefresh({ refresh, leadSeconds })
let cancel = () => {}
onAuthorize(access_token => {
  cancel()
  cancel = start(access_token)
})

onDeauthorize(() => cancel())

अस्वीकरण: मैं अनुचर हूँ

मैंने टोकन डेटा में एक चर जोड़कर इस समस्या को हल किया:

softexp - I set this to 5 mins (300 seconds)

expiresInउपयोगकर्ता को फिर से लॉगिन करने के लिए मजबूर करने से पहले मैंने अपने इच्छित समय पर विकल्प सेट किया। मेरा 30 मिनट के लिए सेट है। यह मान से अधिक होना चाहिए softexp।

जब मेरा क्लाइंट साइड ऐप सर्वर एपीआई (जहां टोकन आवश्यक है, जैसे ग्राहक सूची पृष्ठ) के लिए अनुरोध भेजता है, तो सर्वर यह जांचता है कि क्या जमा किया गया टोकन अभी भी वैध है या नहीं इसकी मूल समाप्ति ( expiresIn) मूल्य के आधार पर । यदि यह मान्य नहीं है, तो सर्वर इस त्रुटि के लिए विशेष रूप से एक स्थिति के साथ प्रतिक्रिया देगा। INVALID_TOKEN।

यदि टोकन अभी भी expiredInमूल्य के आधार पर मान्य है , लेकिन यह पहले से ही पार कर गया हैsoftexp मूल्य , तो सर्वर इस त्रुटि के लिए एक अलग स्थिति के साथ जवाब देगा, जैसे। EXPIRED_TOKEN:

(Math.floor(Date.now() / 1000) > decoded.softexp)

ग्राहक पक्ष पर, अगर यह प्राप्त हुआ EXPIRED_TOKEN प्रतिक्रिया सर्वर पर एक नवीनीकरण अनुरोध भेजकर टोकन को स्वचालित रूप से नवीनीकृत करना चाहिए। यह उपयोगकर्ता के लिए पारदर्शी है और स्वचालित रूप से क्लाइंट ऐप का ध्यान रखा जा रहा है।

यदि टोकन अभी भी मान्य है, तो सर्वर में नवीनीकरण विधि को जांचना होगा:

jwt.verify(token, secret, (err, decoded) => {})

यदि उपरोक्त विधि विफल रही तो सर्वर टोकन नवीनीकृत करने से इंकार कर देगा।

इस दृष्टिकोण के बारे में कैसे:

• प्रत्येक क्लाइंट अनुरोध के लिए, सर्वर टोकन की समाप्ति तिथि (currentTime - lastAccessTime) के साथ तुलना करता है
• यदि समाप्ति समय सीमा <(currentTime - lastAccessedTime) , तो यह अंतिम lastAccessedTime को वर्तमान समय में बदल देती है।
• एक समय अवधि के लिए ब्राउज़र पर निष्क्रियता समाप्त होने की स्थिति में या समाप्ति के समय ब्राउज़र विंडो बंद हो गई थी और एक्सपायर टाइमटाइम> (currentTime - lastAccessedTime) , और फिर सर्वर टोकन को समाप्त कर सकता है और उपयोगकर्ता को फिर से लॉगिन करने के लिए कह सकता है।

हमें इस मामले में टोकन को ताज़ा करने के लिए अतिरिक्त समाप्ति बिंदु की आवश्यकता नहीं है। किसी भी फीडबैक की सराहना करेंगे।

आज, बहुत से लोग JWTs के साथ सत्र प्रबंधन करने के लिए चुनते हैं, जो कि कथित सादगी के लिए वे क्या दे रहे हैं, इसके बारे में पता किए बिना । मेरा उत्तर प्रश्नों के 2 भाग पर विस्तृत है:

फिर असली फायदा क्या है? केवल एक टोकन क्यों नहीं है (JWT नहीं) और सर्वर पर समाप्ति को बनाए रखें?

क्या अन्य विकल्प हैं? क्या JWT का उपयोग इस परिदृश्य के लिए अनुकूल नहीं है?

JWT कुछ सीमाओं के साथ बुनियादी सत्र प्रबंधन का समर्थन करने में सक्षम हैं। स्वयं-वर्णन टोकन होने के नाते, उन्हें सर्वर-साइड पर किसी भी राज्य की आवश्यकता नहीं है। यह उन्हें आकर्षक बनाता है। उदाहरण के लिए, यदि सेवा में दृढ़ता की परत नहीं है, तो इसे सत्र प्रबंधन के लिए एक लाने की आवश्यकता नहीं है।

हालाँकि, स्टेटलेसनेस भी उनकी कमियों का प्रमुख कारण है। चूंकि वे केवल एक बार निश्चित सामग्री और समाप्ति के साथ जारी किए जाते हैं, इसलिए आप उन चीजों को नहीं कर सकते हैं जिन्हें आप एक विशिष्ट सत्र प्रबंधन सेटअप के साथ करना चाहते हैं।

अर्थात्, आप उन्हें मांग को अमान्य नहीं कर सकते। इसका मतलब है कि आप एक सुरक्षित लॉगआउट को लागू नहीं कर सकते हैं क्योंकि पहले से जारी टोकन को समाप्त करने का कोई तरीका नहीं है। आप निष्क्रिय समय-सीमा भी लागू नहीं कर सकते इसी कारण से । एक समाधान एक ब्लैकलिस्ट रखना है, लेकिन यह राज्य का परिचय देता है।

मैंने इन कमियों के बारे में विस्तार से बताते हुए एक पोस्ट लिखी । स्पष्ट होने के लिए, आप अधिक जटिलता (स्लाइडिंग सत्र, ताज़ा टोकन, आदि) जोड़कर इनके आसपास काम कर सकते हैं।

अन्य विकल्पों के लिए, यदि आपके क्लाइंट केवल एक ब्राउज़र के माध्यम से आपकी सेवा के साथ बातचीत करते हैं, तो मैं दृढ़ता से एक कुकी-आधारित सत्र प्रबंधन समाधान का उपयोग करने की सलाह देता हूं। मैंने वेब पर वर्तमान में व्यापक रूप से उपयोग की जाने वाली सूची प्रमाणीकरण विधियों का भी संकलन किया।