JWT. Access token и Refresh token. Зачем? Почему? / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / JWT. Access token и Refresh token. Зачем? Почему?

25 сообщений из 30, страница 1 из 2

все

JWT. Access token и Refresh token. Зачем? Почему?

#39756914

Tsyklop

Гость

Делаю REST API для приложения. Стал вопрос безопасности. Мой выбор пал на JWT (JSON Web Token). Хорошо. Нашел и понял как это делается и работает - сделал. Сделал только Access token. Но потом понял что "а что делать когда срок действия access token-а истекает? просить юзера залогинится заново? ну как-то такое себе занятие".

Залез в гугл и увидел тему с Refresh token-ом. Начал изучать. Но вот полного понимания того зачем он нужен нет.

Подскажете зачем он нужен? Может есть другие, более лучшие, способы авторизации пользователя?

P.S. читал на хабре и на разных сайтах и везде разное пишут. Основная проблема это в отзыве выданных токенов. Хранить ли в бд или в памяти и т.д.

...

Рейтинг:

0 / 0

09.01.2019, 00:34

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39756929

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

A Refresh Token is a special kind of token that can be used to obtain a renewed access token —that allows accessing a protected resource— at any time. You can request new access tokens until the refresh token is blacklisted. Refresh tokens must be stored securely by an application because they essentially allow a user to remain authenticated forever.

Если речь про AOuth2
Вот тоже самое только в спеках
https://tools.ietf.org/html/rfc6749#section-1.5

Если коротко по русски то рефреш токен очень опасная вещь если ее получил враг то он может не зная пароля и логина получать доступ к Вашим ресурсам. Часто эту фичу запрещают в АОЗ 2

...

Рейтинг:

0 / 0

09.01.2019, 02:51

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39756976

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

Tsyklop, токены хранят только где-то на клиенте, именно потому у большинства из них есть срок жизни. jwt токен обычно шифруют каким либо из алгоритмов(в зависимости от срока жизни можно подобрать алгоритм, который за данной время не взломать или вовсе выбрать какие-нибудь ассиметричные ключи) и на сервер сайде их валидируют на лету.
( https://github.com/auth0/java-jwt)

Токены на клиент сайде не рекомендуют хранить в куках, лучше использовать local storage.

Refresh token нужен для того, чтобы по нему сервер вернул новый Access token после того, как у старого истек срок жизни. У Refresh token`а тоже есть срок жизни(например - 1 день)

Вместо refresh token вы можете использовать свою имплентацию oauth2 ^^
С другой стороны, зачем вам вообще токены? У true way rest stateless сервисы ? Настройте нормально сессию при авторизации, пусть живет на бэкенде и делов то.

...

Рейтинг:

0 / 0

09.01.2019, 09:07

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39756988

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Озверинсессию+1
Это у MS повальное увлечение токенами и аллергия на сессию.
Но в java то корпоративное ПО.

...

Рейтинг:

0 / 0

09.01.2019, 09:50

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39756999

Tsyklop

Гость

Озверин,
То бишь. Когда закончилось время жизни access token-а я делаю запрос с refresh token-ом. Если он валидный то сервак мне возвращает новые access и refresh. При этом на фронте не выбрасывает юзера на форму логина. так?

...

Рейтинг:

0 / 0

09.01.2019, 10:08

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757003

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

TsyklopОзверин,
То бишь. Когда закончилось время жизни access token-а я делаю запрос с refresh token-ом. Если он валидный то сервак мне возвращает новые access и refresh. При этом на фронте не выбрасывает юзера на форму логина. так?

да, все правильно. Релогин будет только когда истечен refresh token(по идее!).

...

Рейтинг:

0 / 0

09.01.2019, 10:20

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757359

Tsyklop

Гость

Может есть еще какие-то решения для авторизации клиента?

...

Рейтинг:

0 / 0

09.01.2019, 17:05

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757364

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

TsyklopМожет есть еще какие-то решения для авторизации клиента?

одноразовые пароли или сертификаты ) Можно железные или программные ключи.

Ну и надо отличать авторизацию от аутиентификации, вы же за аутиентификацию спрашиваете?

...

Рейтинг:

0 / 0

09.01.2019, 17:09

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757391

Tsyklop

Гость

ОзверинНу и надо отличать авторизацию от аутиентификации, вы же за аутиентификацию спрашиваете?

да, именно. По началу я делал через сессию, но там было приложение монолит. теперь же все отдельно

...

Рейтинг:

0 / 0

09.01.2019, 17:31

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757403

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

TsyklopОзверинНу и надо отличать авторизацию от аутиентификации, вы же за аутиентификацию спрашиваете?

да, именно. По началу я делал через сессию, но там было приложение монолит. теперь же все отдельнобыла защита на сервере, теперь токенами занимается клиенты и хакеры).

...

Рейтинг:

0 / 0

09.01.2019, 17:39

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757407

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Tsyklopприложение монолит. теперь же все отдельнопоигрался? Теперь вертай все взад)

...

Рейтинг:

0 / 0

09.01.2019, 17:42

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757469

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

А я говорил, что проблемы будут с авторизацией...

https://github.com/sqshq/PiggyMetrics
вот тут очень примитивно описано и реализовано(несколько микросервисов и токены и все дела).

...

Рейтинг:

0 / 0

09.01.2019, 19:20

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757494

Tsyklop

Гость

ОзверинА я говорил, что проблемы будут с авторизацией...

https://github.com/sqshq/PiggyMetrics
вот тут очень примитивно описано и реализовано(несколько микросервисов и токены и все дела).

Тут юзается OAuth2 стартер бута. Я делал без него. Мало чем это мне поможет.

...

Рейтинг:

0 / 0

09.01.2019, 20:04

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757498

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

TsyklopОзверинА я говорил, что проблемы будут с авторизацией...

https://github.com/sqshq/PiggyMetrics
вот тут очень примитивно описано и реализовано(несколько микросервисов и токены и все дела).

Тут юзается OAuth2 стартер бута. Я делал без него. Мало чем это мне поможет.

без спринг бута или со своей имплентацией токенов:?)

...

Рейтинг:

0 / 0

09.01.2019, 20:23

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757499

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

TsyklopДелаю REST API для приложения. Стал вопрос безопасности. Мой выбор пал на JWT (JSON Web Token).
Обычно такое делают когда в сети много Rest сервисов. Без этого постановка выглядит
слегка... хм... гипертрофированной. От этого у тебя и непонимание.

...

Рейтинг:

0 / 0

09.01.2019, 20:27

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757501

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

refresh token всеж не имеет срока давности и его можно поставить только в ченый список.

The main concept of refresh token , is that it is long lasting and never expires. The access token has expiry time and it expires, once it expires we can go for the refresh token, that will be used again and again until the user revokes from his account.

https://stackoverflow.com/questions/8953983/do-google-refresh-tokens-expire

Я для тех кто с первого раза не понял

...

Рейтинг:

0 / 0

09.01.2019, 20:43

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757504

Sergunka

Участник

Откуда: Bay Area, CA

Сообщения: 2 050

Рейтинг: 0 / 0

TsyklopМожет есть еще какие-то решения для авторизации клиента?

Академическое решение для тех кто не может осилить протокол SAML2 это осилить OAth2 Authorization Code Grant воркфло

https://tools.ietf.org/html/rfc6749#section-1.3.1

Все зависит какой авторизационный сервер вам предстоит использовать и какой протокол этот сервер поддерживает

...

Рейтинг:

0 / 0

09.01.2019, 20:54

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757509

Tsyklop

Гость

Озверинбез спринг бута или со своей имплентацией токенов:?)

Со спринг бутом. Но своя реализация фильтров, создания токенов через jwt либу.

...

Рейтинг:

0 / 0

09.01.2019, 21:12

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757571

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

TsyklopОзверинбез спринг бута или со своей имплентацией токенов:?)

Со спринг бутом. Но своя реализация фильтров, создания токенов через jwt либу.

а зачем? Все есть из коробки жы.

...

Рейтинг:

0 / 0

10.01.2019, 00:55

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757573

Tsyklop

Гость

Озверина зачем? Все есть из коробки жы.
Хм. тоже верно

...

Рейтинг:

0 / 0

10.01.2019, 01:21

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757604

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Tsyklop,
Из коробки есть все штук 10 методов аутентификации. Поэтому тема давно изжевана и расписана.

...

Рейтинг:

0 / 0

10.01.2019, 07:16

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757640

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

А какой смысл давать человеку 10 методов если он не видит мотивации к применению?

Дайте ему мотивацию.

...

Рейтинг:

0 / 0

10.01.2019, 08:54

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757643

Озверин

Участник

Откуда: Ростов-на-Дону

Сообщения: 3 646

Рейтинг: 0 / 0

maytonА какой смысл давать человеку 10 методов если он не видит мотивации к применению?

Дайте ему мотивацию.

зайди, объясни, еще и мотивируй...это не тот форум - тут нет коучей ;)))

...

Рейтинг:

0 / 0

10.01.2019, 08:56

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757648

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

maytonДайте ему мотивацию.мотивирует топик стартер интересным вопросом))) LOL.

...

Рейтинг:

0 / 0

10.01.2019, 09:00

| Ответить | Цитировать | Написать

JWT. Access token и Refresh token. Зачем? Почему?

#39757650

mayton

Участник

Откуда: loopback

Сообщения: 53 422

Рейтинг: 2 / 0

ОзверинmaytonА какой смысл давать человеку 10 методов если он не видит мотивации к применению?

Дайте ему мотивацию.

зайди, объясни, еще и мотивируй...это не тот форум - тут нет коучей ;)))
Эйнштейн говорил что если мы не можем объяснить суть какой то вещи ребёнку. - значит мы сами это не понимаем.

...

Рейтинг:

0 / 0

10.01.2019, 09:02

| Ответить | Цитировать | Написать

25 сообщений из 30, страница 1 из 2

все

Форумы / Java [игнор отключен] [закрыт для гостей] / JWT. Access token и Refresh token. Зачем? Почему?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=39757640&tid=2121541]:	0ms
get settings:	9ms
get forum list:	14ms
check forum access:	4ms
check topic access:	4ms
track hit:	43ms
get topic data:	11ms
get forum data:	3ms
get page messages:	57ms
get tp. blocked users:	1ms
others:	13ms

total:	159ms