Wpis z mikrobloga

Skopiuj link

21.11.2017, 07:15:49

Mirki czy może mi ktoś wyjaśnić jak to jest z refresh tokenami? Rozumiem, że jak mam token do autoryzacji, to jeżeli on wygaśnie to używam refresh tokena do wygenerowania nowego access tokena, zgadza się?

Ok to tak - do wygenerowania nowego access tokena użytkownik musi się poprawnie uwierzytelnić, wysyłając w requeście login oraz hasło. Jeżeli wszystko się zgadza, to zwracam mu token.

Użytkownik po jakimś czasie próbuje uzyskać dostęp do zasobu gdzie wymagana jest autoryzacja, ale okazuje się, że access token wygasł, wysyła więc więc żądanie po nowy token wysyłając aktualnie posiadany refresh token. Serwer sprawdza, czy refresh token jest aktywny, jeżeli tak to generuje nowy access token, tak?

No dobra, a jak ktoś wykradnie mojemu klientowi refresh token, to będzie mógł sobie przecież wygenerować na podstawie tego refresh tokena, nowy access token? Całe uwierzytelnienie traci sens.

#programowanie #programista15k #token

a.....z

konto usunięte 21.11.2017, 07:22:18

@pepepanpatryk: dlatego najlepiej stosować cookiesy, a w nich login i hasło

D.....o

konto usunięte 21.11.2017, 07:23:14 via Android

@ajdasz tak, to najbezpieczniejsze rozwiązanie.

pepepanpatryk

21.11.2017, 07:51:26

@Dzolejro: Czy przechowywanie loginu oraz hasła w ciasteczku nie jest trochę niebezpieczne?

JulianCarax

21.11.2017, 08:16:43 via iOS

Refresh token nie jest nigdy zwracany użytkownikowi. Po stronie serwera weryfikujesz,czy przesłany access token nie utracił ważności. Jeśli utracił to odczytujesz z bazy refresh token i na jego podstawie generujesz i zwracasz nowy access token.

w.....e

konto usunięte 21.11.2017, 09:29:25

@JulianCarax: Wuuut, jaki to ma sens? xD
Normalnie wysyłasz użytkownikowi refresh token, jak wygasa access token to użytkownik wysyła refresh i dostaje nowy access token. Chodzi o to żeby nie trzeba było wpisywać haseł ciągle (bo access token można zapisać sobie w pamięci aplikacji, login i hasło to tak średnio bym powiedział). Do tego refresh token też wygasa po pewnym czasie (choć wiele API stosuje już politykę niewygasającego refresh tokenu).

w.....e

konto usunięte 21.11.2017, 09:30:23

@ajdasz: Btw trzymanie loginu i hasła w ciastku, to bajt? XD

JulianCarax

21.11.2017, 09:41:12 via iOS

@whale: Przykład. Loguję się do Google API z użyciem access tokena w celu wysłania wiadomości przez gmaila. Jeśli access token utracił ważność to przy użyciu zapisanego w bazie refresh tokena generuję nowy access token i za jego pomocą uzyskuję dostęp do api. Czego tu nie rozumiesz?

JulianCarax

21.11.2017, 10:14:48 via iOS

Nie wiem, czy dobrze Ciebie zrozumiałem. Generalnie access i refresh token używa się do autoryzacji usług, aby nie wymagać od użytkownika ciągłego logowania a jednocześnie nie trzymać jednego tokena dostępowego cały czas, co byłoby niebezpieczne, dlatego jest on odświeżany. Przykład użycia to np. wystawianie aukcji na allegro w imieniu użytkownika czy wysyłanie emaili z gmaila w jego imieniu (bez konieczności znania hasła). W przypadku zwykłego logowania do aplikacji (JS - react, angular

w.....e

konto usunięte 21.11.2017, 10:30:31

@JulianCarax: O rzeczywiście źle się zrozumieliśmy :D Jako użytkownika ja zrozumiałem konsumenta API czyli moją aplikację, która łączy się z jakimś serwerem, który udostępnia access i refresh token. A serwer, o którym pisałeś zrozumiałem jako to third party API, które udostępnia tokeny. Oczywiście jeśli nasza aplikacja ma jeszcze wiele innych użytkowników, to refresh tokeny nie powinny nigdy trafić do użytkownika końcowego dokładnie jak piszesz :D

pepepanpatryk

21.11.2017, 13:33:32

Ok wszystko jasne, jeszcze pytanie o asp.net core - korzystając z atrybutu authorize przy danej metodzie, serwer z automatu sprawdza token. Gdzie powinna być zaimplementowana logika sprawdzania refresh tokena w przypadku gdy access token wygasł? Jakiś customowy middleware, czy robi się to w jakiś inny konkretny sposób?

Aktywne Wpisy

Hogataa26

Hogataa26 +40

5 godz. i 44 min temu

#paryz2024
Bawi jak się niektórzy zesrali o rzekomą Ostatnia Wieczerza i te śmieszne komentarze, że chlip chlip obraża chrześcijaństwa i brak szacunku, a przecież jak LGBT się szkaluje, to od razu płaczą i jest wielki problem xD
Tylko wiecie wykopki, LGBT jest notorycznie od wielu lat obrażane i szkalowane przez skrajnych prawych chrześcijan . W internecie, w życiu normalnym, w kościele, w tv, nawet pan prezydent potrafił publicznie to zrobic.