JWT ताज़ा टोकन प्रवाह

मैं एक मोबाइल ऐप बना रहा हूं और प्रमाणीकरण के लिए JWT का उपयोग कर रहा हूं।

ऐसा लगता है कि ऐसा करने का सबसे अच्छा तरीका यह है कि JWT एक्सेस टोकन को रिफ्रेश टोकन के साथ जोड़ा जाए ताकि मैं एक्सेस टोकन को जितनी बार चाहें समाप्त कर सकूं।

1. एक ताज़ा टोकन कैसा दिखता है? क्या यह एक यादृच्छिक स्ट्रिंग है? क्या वह तार एन्क्रिप्टेड है? क्या यह एक और जेडब्ल्यूटी है?
2. ताज़ा टोकन डेटाबेस में एक्सेस के लिए उपयोगकर्ता मॉडल पर संग्रहीत किया जाएगा, सही? ऐसा लगता है कि इस मामले में इसे एन्क्रिप्ट किया जाना चाहिए
3. क्या मैं एक उपयोगकर्ता लॉगिन के बाद ताज़ा टोकन वापस भेज दूंगा, और फिर क्या ग्राहक के पास एक्सेस टोकन प्राप्त करने के लिए एक अलग मार्ग है?

यह मानते हुए कि यह OAuth 2.0 के बारे में है क्योंकि यह JWTs और ताज़ा टोकन के बारे में है ...:

1. एक पहुंच टोकन की तरह, सिद्धांत रूप में एक ताज़ा टोकन आपके द्वारा वर्णित सभी विकल्पों सहित कुछ भी हो सकता है; एक JWT का उपयोग तब किया जा सकता है जब प्राधिकरण सर्वर स्टेटलेस होना चाहता है या इसे पेश करने वाले क्लाइंट को किसी प्रकार के "प्रूफ-ऑफ-कब्जे" शब्दार्थ को लागू करना चाहता है; ध्यान दें कि एक ताज़ा टोकन एक पहुंच टोकन से भिन्न होता है, यह एक संसाधन सर्वर को प्रस्तुत नहीं किया जाता है, लेकिन केवल उस प्राधिकरण सर्वर को दिया जाता है जिसने इसे पहले स्थान पर जारी किया था, इसलिए JWTs-as-access-tokens के लिए स्व-निहित सत्यापन अनुकूलन करता है। ताज़ा टोकन के लिए नहीं

2. डेटाबेस की सुरक्षा / पहुंच पर निर्भर करता है; यदि डेटाबेस को अन्य पार्टियों / सर्वरों / अनुप्रयोगों / उपयोगकर्ताओं द्वारा एक्सेस किया जा सकता है, तो हाँ (लेकिन आपका माइलेज एन्क्रिप्शन कुंजी को कहाँ और कैसे संग्रहीत करता है ...

3. एक प्राधिकरण सर्वर एक ही समय में टोकन तक पहुँच और ताज़ा दोनों टोकन जारी कर सकता है, जो ग्राहक द्वारा उन्हें प्राप्त करने के लिए उपयोग किए जाने वाले अनुदान पर निर्भर करता है; प्रत्येक मानक अनुदान पर विवरण और विकल्प शामिल हैं

नीचे अपने JWT पहुँच टोकन को निरस्त करने के चरण दिए गए हैं:

1. जब आप लॉग इन करते हैं, तो क्लाइंट के जवाब में 2 टोकन (एक्सेस टोकन, रिफ्रेश टोकन) भेजें।
2. एक्सेस टोकन का समय समाप्त होने का समय कम होगा और रिफ्रेश का लंबा समय समाप्त होगा।
3. क्लाइंट (फ्रंट एंड) अपने स्थानीय भंडारण में ताज़ा टोकन स्टोर करेगा और कुकीज़ में टोकन एक्सेस करेगा।
4. API को कॉल करने के लिए क्लाइंट एक्सेस टोकन का उपयोग करेगा। लेकिन जब यह समाप्त हो जाता है, तो स्थानीय भंडारण से ताज़ा टोकन चुनें और नया टोकन प्राप्त करने के लिए डेटा सर्वर API को कॉल करें।
5. आपके सामान्य सर्वर में एक एपीआई होगा जो ताज़ा टोकन स्वीकार करेगा और इसकी वैधता के लिए जाँच करेगा और एक नया एक्सेस टोकन लौटाएगा।
6. एक बार ताज़ा टोकन समाप्त हो जाने के बाद, उपयोगकर्ता लॉग आउट हो जाएगा।

कृपया मुझे बताएं कि यदि आपको अधिक जानकारी की आवश्यकता है, तो मैं कोड (जावा + स्प्रिंग बूट) भी साझा कर सकता हूं।

आपके सवालों के लिए:

Q1: यह एक और JWT है जिसमें लंबे समय के समाप्ति समय के साथ कम दावे हैं।

Q2: यह एक डेटाबेस में नहीं होगा। बैकएंड कहीं भी स्टोर नहीं होगा। वे सिर्फ निजी / सार्वजनिक कुंजी के साथ टोकन को डिक्रिप्ट करेंगे और इसे अपने समाप्ति समय के साथ भी मान्य करेंगे।

Q3: हाँ, सही है

ताज़ा टोकन के साथ JWT के Node.js के साथ इस कार्यान्वयन के आधार पर :

1) इस मामले में वे एक यूआईडी का उपयोग करते हैं और यह एक जेडब्ल्यूटी नहीं है। जब वे टोकन ताज़ा करते हैं तो वे ताज़ा टोकन और उपयोगकर्ता भेजते हैं। यदि आप इसे JWT के रूप में लागू करते हैं, तो आपको उपयोगकर्ता को भेजने की आवश्यकता नहीं है, क्योंकि यह JWT के अंदर होगा।

2) वे इसे एक अलग दस्तावेज़ (तालिका) में लागू करते हैं। यह मेरे लिए समझ में आता है क्योंकि एक उपयोगकर्ता को विभिन्न क्लाइंट एप्लिकेशन में लॉग इन किया जा सकता है और इसमें ऐप द्वारा एक ताज़ा टोकन हो सकता है। यदि उपयोगकर्ता एक ऐप इंस्टॉल किए गए डिवाइस को खो देता है, तो उस डिवाइस के ताज़ा टोकन को अन्य लॉग इन डिवाइस को प्रभावित किए बिना अमान्य किया जा सकता है।

3) इस कार्यान्वयन में यह दोनों के साथ विधि में लॉग का जवाब देता है, टोकन का उपयोग और ताज़ा टोकन। यह मेरे लिए सही है।