그것은 안전한 노출 refreshtoken API

Question 1

나는 응용 프로그램을 사용하여 개발에 반응 프런트 엔드 ASP.Net 웹 API 에 있습니다. 내가 사용하 JWT 여 권한을 부여합니다. 프로세스

사용자가 로그인할 때에는 인증된 2 표로 전송되는 프런트 엔드 액세스 토큰하고 새로 토큰을 발급합니다. 액세스 토큰은 JWT 와 새로 토큰은 임의의 문자열과 새로 토큰은 데이터베이스에 저장됩니다.
에 대한 모든 후속 호출 Api 액세스 토큰은 첨부된 헤더에서 나는 인증하는 필터를 확인에 액세스합니다.
일단 액세스 토큰이 만료되어,401 상태를 던져 오류 메시지와 함께 TokenExpired.
면 프런트 엔드 받 401 호출은 새로 토큰 API 을 얻을 새로 토큰

질문가는 나는 가질 수 없는 인증서는 필터를 확인 액세스 토큰의 새로 토큰 API 것으로 던져 401 때문에 만료된 액세스 토큰,그래서 내가 만들 필요가 새로 토큰 API 되어 있을 수 있습니다 그래서 충돌하지 않는 인증을 필터링합니다. 면 내가 만드는 익명을 만들고 데이터베이스를 호출하여 얻을 새로 토큰에 대해 저장 사용자와 비교 중 하나에서 받았습니다. 그래서 그것을 안전하게 새로 토큰 API 익명하지 않을 경우,가장 좋은 방법은 무엇?

Question 2

에 Auth0 만든 집합의 기능을 완화하는 관련 위험과 함께 사용하여 새로 토큰을 부과함으로써 안전 및 컨트롤에 그들의 라이프사이클을 기술합니다. 우리의 정체성 플랫폼이 제공하는 새로 토큰 회전,는 또한 제공으로 자동적인 재사용을 탐지합니다.

읽어 보시기 바랍에는 다음 항목입니다.

새로 토큰 회전

새로 토큰 자동 재사용 탐지

Question 3

JWT 서명을 사용하여 미리 공유한의 비밀 핵심이다. 이후 그것은 나머지 부분에 백엔드 및 무국적자,jwt 사용을 위한 승인 및 건설 교체

당신 말처럼 액세스 토큰을 나타내는 허 응용 프로그램에서는 경우,새로 토큰에 노출된 다음에 새로 고침할 수 있는 토큰에 의해 제공되는 나쁜 배우게 액세스 토큰을 얻을 위해 이용할 수 있는 동습니다.

를 사용하여'미리 공유한 비밀'을 나타냅 JWT 은 HMAC 만의 변 JWT,즉 없으로서 암호화를 나타내는 것 민간 및 공공 key pair 에 반대하는'미리 공유한다. 그래서 JWT 은 기본적으로 서명을 위해 puposes 보안의 특성을 우리는 보 무결성 는 클레임의 JWT 가 잘 형성되고 변경되지 않기 때문에 서명했다. 그것은 또한 동일한 암호를 사용에 대한 서명을 한 끝에으로 사용되었는지를 확인 다른 쪽 끝에서,동일한 비밀을 사용해야 하기 때문에 서명을 확인할 필요는 끝이 모두 서명을 생성하고 모두 서명의 일치합니다. 그래서 아무 데이터는 암호화되도록 데이터에 JWT 이 민감하고 필요로 보호 할 수 있습니다.

주어진 이 상황을 모두 새로 고침과 액세스 토큰은 간단한 JWT 될 수 있는 생성에 의해 소유자의 비밀-는 경우 그들은 노출하는 데 사용할 수 있게 악의적인 요청을 같은 그들이 유효(nbf 클레임).

기본적으로 이 유형의 JWT 잘못 사용될 수 있습에 노출되면 id 를 가장 비결에 서명 JWT 를 나타내지 않고,실제로 비밀을 알고,그 자체까지 nbf 클레임을 만료 토큰하고 새로 토큰은 메커니즘을 연장 nbf 클레임없이 비밀(는 결과에서는 새로운 서명이 있기 때문에, nbf 클레임을 변경할 때 사용되는).

거기에 하나에서 보호 액세스 토큰의 재사용,그것은 nonce 주장이다. 하지 않는 경우는 현재 사용하는 nonce 클레임을 읽을 수 있는 방법에 대해 그룹 을 구현 하고 그는 동일합니다. 하지만 당신 말대로,당신의 응용 프로그램 상태가 저장되지만 희망이 있 백엔드는 형태로의 상태를 확인하 nonce 재사용 방지 JWT 서명을 재사용할 수 있습니다. 에 대한 모든 nonce JWT 서명을 변경,따라서 액세스 토큰을 변경하고 사용할 수 있습 단 1 시간입니다. 도록 도난당한 경우 그것은 경쟁 조건을 사용하는 토큰을 먼저 크게 위험을 최소화하지만 완벽한 솔루션입니다.

Maksud · Answer 1 · 2021-11-24T05:56:21