การทำให้โทเค็น JSON Web Tokens ไม่ถูกต้อง

สำหรับโครงการใหม่ node.js ที่ฉันกำลังทำงานฉันกำลังคิดที่จะเปลี่ยนจากวิธีเซสชันแบบใช้คุกกี้ (โดยสิ่งนี้ฉันหมายถึงการจัดเก็บรหัสไปยังที่เก็บคีย์ - ค่าที่มีเซสชันผู้ใช้ในเบราว์เซอร์ของผู้ใช้) สู่แนวทางเซสชันที่ใช้โทเค็น (ไม่มีที่เก็บคีย์ - ค่า) โดยใช้ JSON Web Tokens (jwt)

โครงการนี้เป็นเกมที่ใช้ socket.io - การมีเซสชันที่ใช้โทเค็นจะเป็นประโยชน์ในสถานการณ์ดังกล่าวซึ่งจะมีช่องทางการสื่อสารหลายช่องในเซสชันเดียว (เว็บและ socket.io)

หนึ่งจะให้โทเค็น / เซสชั่นไม่ถูกต้องจากเซิร์ฟเวอร์โดยใช้วิธีการ jwt?

ฉันยังต้องการที่จะเข้าใจถึงข้อผิดพลาด / การโจมตีที่พบบ่อย (หรือผิดปกติ) ที่ฉันควรระวังด้วยกระบวนทัศน์ประเภทนี้ ตัวอย่างเช่นหากกระบวนทัศน์นี้มีความเสี่ยงต่อการโจมตีประเภทเดียวกัน / แตกต่างกันกับวิธีการจัดเก็บเซสชัน / คุกกี้ตามวิธี

ดังนั้นบอกว่าฉันมีดังต่อไปนี้ (ดัดแปลงมาจากสิ่งนี้และสิ่งนี้ ):

เข้าสู่ระบบร้านค้าเซสชัน:

app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        // Create session token
        var token= createSessionToken();

        // Add to a key-value database
        KeyValueStore.add({token: {userid: profile.id, expiresInMinutes: 60}});

        // The client should save this session token in a cookie
        response.json({sessionToken: token});
    });
}

การลงชื่อเข้าใช้แบบ Token:

var jwt = require('jsonwebtoken');
app.get('/login', function(request, response) {
    var user = {username: request.body.username, password: request.body.password };
    // Validate somehow
    validate(user, function(isValid, profile) {
        var token = jwt.sign(profile, 'My Super Secret', {expiresInMinutes: 60});
        response.json({token: token});
    });
}

-

การล็อกเอาต์ (หรือไม่ถูกต้อง) สำหรับวิธีการในที่จัดเก็บเซสชันจะต้องมีการอัพเดทฐานข้อมูล KeyValueStore ด้วยโทเค็นที่ระบุ

ดูเหมือนว่ากลไกดังกล่าวจะไม่มีอยู่ในวิธีที่ใช้โทเค็นเนื่องจากโทเค็นเองจะมีข้อมูลที่ปกติจะมีอยู่ในที่เก็บคีย์ - ค่า

ฉันก็ค้นคว้าคำถามนี้ด้วยและในขณะที่ไม่มีแนวคิดใดด้านล่างนี้เป็นวิธีแก้ปัญหาที่สมบูรณ์ แต่พวกเขาอาจช่วยผู้อื่นแยกแยะความคิดหรือเสนอแนวคิดเพิ่มเติม

1) เพียงลบโทเค็นออกจากไคลเอนต์

เห็นได้ชัดว่าสิ่งนี้ไม่ได้ทำอะไรเพื่อความปลอดภัยฝั่งเซิร์ฟเวอร์ แต่จะหยุดการโจมตีโดยการลบโทเค็นออกจากการมีอยู่ (เช่นพวกเขาจะต้องขโมยโทเค็นก่อนที่จะออกจากระบบ)

2) สร้างบัญชีดำโทเค็น

คุณสามารถจัดเก็บโทเค็นที่ไม่ถูกต้องได้จนกว่าจะถึงวันหมดอายุและเปรียบเทียบกับคำขอที่เข้ามา สิ่งนี้ดูเหมือนจะลบล้างเหตุผลในการใช้โทเค็นอย่างเต็มที่ตั้งแต่แรกเนื่องจากคุณจะต้องแตะฐานข้อมูลสำหรับทุกคำขอ ขนาดของพื้นที่จัดเก็บอาจจะต่ำกว่าเนื่องจากคุณจะต้องเก็บโทเค็นที่อยู่ในระหว่างการออกจากระบบและเวลาหมดอายุเท่านั้น (นี่เป็นความรู้สึกของลำไส้และขึ้นอยู่กับบริบท)

3) เพียงแค่ทำให้โทเค็นมีอายุสั้นและหมุนบ่อยๆ

หากคุณรักษาเวลาหมดอายุโทเค็นในช่วงเวลาที่สั้นพอและให้ไคลเอนต์ที่ทำงานอยู่ติดตามและร้องขอการปรับปรุงเมื่อจำเป็นหมายเลข 1 จะทำงานได้อย่างมีประสิทธิภาพเป็นระบบออกจากระบบที่สมบูรณ์ ปัญหาเกี่ยวกับวิธีนี้คือทำให้ผู้ใช้ไม่สามารถเข้าสู่ระบบระหว่างการปิดรหัสลูกค้า (ขึ้นอยู่กับระยะเวลาที่คุณทำช่วงเวลาหมดอายุ)

แผนฉุกเฉิน

หากมีกรณีฉุกเฉินหรือโทเค็นผู้ใช้ถูกบุกรุกสิ่งหนึ่งที่คุณสามารถทำได้คืออนุญาตให้ผู้ใช้เปลี่ยน ID การค้นหาผู้ใช้พื้นฐานด้วยข้อมูลรับรองการเข้าสู่ระบบของพวกเขา สิ่งนี้จะทำให้โทเค็นที่เกี่ยวข้องทั้งหมดไม่ถูกต้องเนื่องจากผู้ใช้ที่เกี่ยวข้องจะไม่สามารถพบได้อีกต่อไป

ฉันยังต้องการที่จะทราบว่ามันเป็นความคิดที่ดีที่จะรวมวันที่เข้าสู่ระบบล่าสุดกับโทเค็นเพื่อให้คุณสามารถบังคับใช้ relogin หลังจากระยะเวลาที่ห่างไกล

ในแง่ของความคล้ายคลึง / ความแตกต่างที่เกี่ยวข้องกับการโจมตีโดยใช้โทเค็นโพสต์นี้ตอบคำถาม: https://github.com/dentarg/blog/blob/master/_posts/2014-01-07-angularjs-authentication-with-cookies -vs-token.markdown

ความคิดที่โพสต์ข้างต้นเป็นสิ่งที่ดี แต่วิธีที่ง่ายและสะดวกมากในการยกเลิก JWT ที่มีอยู่ทั้งหมดนั้นก็เพื่อเปลี่ยนความลับ

หากเซิร์ฟเวอร์ของคุณสร้าง JWT ให้ลงชื่อด้วย secret (JWS) จากนั้นส่งไปยังลูกค้าเพียงแค่เปลี่ยนความลับจะทำให้โทเค็นที่มีอยู่ทั้งหมดไม่ถูกต้องและต้องการให้ผู้ใช้ทั้งหมดได้รับโทเค็นใหม่เพื่อรับรองความถูกต้อง ไปยังเซิร์ฟเวอร์

ไม่จำเป็นต้องแก้ไขเนื้อหาโทเค็นจริง ๆ (หรือ ID การค้นหา)

เห็นได้ชัดว่าใช้งานได้เฉพาะกับกรณีฉุกเฉินเมื่อคุณต้องการให้โทเค็นที่มีอยู่ทั้งหมดหมดอายุต่อหนึ่งโทเค็นจะต้องใช้หนึ่งในวิธีแก้ปัญหาด้านบน (เช่นโทเค็นสั้นเวลาหมดอายุหรือทำให้คีย์ที่เก็บไว้ภายในโทเค็น)

นี่คือการสนับสนุนหลักในระยะยาวและการสร้างคำตอบโดย @mattway

ได้รับ:

โซลูชันที่เสนออื่น ๆ บางส่วนในหน้านี้สนับสนุนการกดปุ่มที่เก็บข้อมูลในทุกคำขอ หากคุณกดที่ดาต้าสโตร์หลักเพื่อตรวจสอบความถูกต้องของทุกคำขอฉันจะเห็นเหตุผลที่น้อยกว่าในการใช้ JWT แทนกลไกการตรวจสอบความถูกต้องของโทเค็นอื่น ๆ คุณได้ทำให้ JWT เป็นรัฐแทนที่จะไร้สัญชาติหากคุณไปที่ที่เก็บข้อมูลในแต่ละครั้ง

(หากไซต์ของคุณได้รับคำขอจำนวนมากที่ไม่ได้รับอนุญาต JWT จะปฏิเสธคำขอโดยไม่ต้องกดปุ่ม Data Datore ซึ่งมีประโยชน์อาจมีกรณีการใช้งานอื่น ๆ เช่นนั้น)

ได้รับ:

การพิสูจน์ตัวตน JWT ไร้สัญชาติอย่างแท้จริงนั้นไม่สามารถทำได้สำหรับเว็บแอปทั่วไปในโลกแห่งความเป็นจริงเพราะ JWT ไร้สัญชาติไม่มีวิธีให้การสนับสนุนทันทีและปลอดภัยสำหรับกรณีการใช้งานที่สำคัญต่อไปนี้:

บัญชีของผู้ใช้ถูกลบ / บล็อก / ระงับ

รหัสผ่านของผู้ใช้มีการเปลี่ยนแปลง

บทบาทหรือการอนุญาตของผู้ใช้มีการเปลี่ยนแปลง

ผู้ใช้ออกจากระบบโดยผู้ดูแลระบบ

ข้อมูลสำคัญของแอปพลิเคชันอื่น ๆ ในโทเค็น JWT จะถูกเปลี่ยนโดยผู้ดูแลไซต์

คุณไม่สามารถรอโทเค็นหมดอายุในกรณีเหล่านี้ โทเค็นการตรวจสอบความถูกต้องจะต้องเกิดขึ้นทันที นอกจากนี้คุณไม่สามารถเชื่อถือลูกค้าไม่ให้เก็บและใช้สำเนาของโทเค็นเก่าไม่ว่าจะด้วยเจตนาร้ายหรือไม่ก็ตาม

ดังนั้น: ฉันคิดว่าคำตอบจาก @ matt-way, # 2 TokenBlackList จะเป็นวิธีที่มีประสิทธิภาพที่สุดในการเพิ่มสถานะที่ต้องการในการตรวจสอบความถูกต้องโดยใช้ JWT

คุณมีบัญชีดำที่เก็บโทเค็นเหล่านี้จนกว่าจะถึงวันหมดอายุ รายการโทเค็นจะค่อนข้างเล็กเมื่อเทียบกับจำนวนผู้ใช้ทั้งหมดเนื่องจากจะต้องเก็บโทเค็นที่ถูกขึ้นบัญชีดำจนกว่าจะหมดอายุ ฉันใช้โดยใส่โทเค็นที่ไม่ถูกต้องเป็นสีแดง memcached หรือที่เก็บข้อมูลในหน่วยความจำอื่นที่สนับสนุนการตั้งเวลาหมดอายุบนคีย์

คุณยังต้องโทรไปยังฐานข้อมูลในหน่วยความจำของคุณสำหรับทุกคำขอการตรวจสอบสิทธิ์ที่ผ่านการตรวจสอบสิทธิ์ JWT เริ่มต้น แต่คุณไม่จำเป็นต้องเก็บกุญแจสำหรับผู้ใช้ทั้งหมดของคุณ (ซึ่งอาจเป็นหรือไม่ใช่เรื่องใหญ่สำหรับไซต์ที่กำหนด)

ฉันจะเก็บบันทึกหมายเลขรุ่น jwt ในรุ่นผู้ใช้ โทเค็น jwt ใหม่จะตั้งค่าเวอร์ชันเป็นสิ่งนี้

เมื่อคุณตรวจสอบ jwt เพียงตรวจสอบว่ามีหมายเลขรุ่นเท่ากับรุ่น jwt ปัจจุบันของผู้ใช้

เมื่อใดก็ตามที่คุณต้องการทำให้ jwts เก่าใช้ไม่ได้ให้กดหมายเลขผู้ใช้ jwt

ยังไม่ได้ลองสิ่งนี้และใช้ข้อมูลเป็นจำนวนมากตามคำตอบอื่น ๆ ความซับซ้อนที่นี่คือการหลีกเลี่ยงการเรียกที่เก็บข้อมูลฝั่งเซิร์ฟเวอร์ต่อการร้องขอข้อมูลผู้ใช้ โซลูชันอื่น ๆ ส่วนใหญ่ต้องการการค้นหา db ต่อการร้องขอไปยังที่เก็บเซสชันผู้ใช้ นั่นเป็นเรื่องปกติในบางสถานการณ์ แต่สิ่งนี้ถูกสร้างขึ้นในความพยายามที่จะหลีกเลี่ยงการเรียกใช้และทำให้สถานะฝั่งเซิร์ฟเวอร์ที่ต้องการนั้นมีขนาดเล็กมาก คุณจะสร้างเซสชั่นฝั่งเซิร์ฟเวอร์ขึ้นมาใหม่ แต่มีขนาดเล็กเพื่อให้ฟีเจอร์การบังคับใช้ไม่ถูกต้อง แต่ถ้าคุณต้องการที่จะทำที่นี่เป็นส่วนสำคัญ:

เป้าหมาย:

• ลดการใช้แหล่งข้อมูล (ไม่ต้องระบุข้อมูล)
• ความสามารถในการบังคับออกจากระบบผู้ใช้ทั้งหมด
• ความสามารถในการบังคับออกจากระบบของบุคคลใด ๆ ได้ตลอดเวลา
• ความสามารถในการต้องป้อนรหัสผ่านอีกครั้งหลังจากระยะเวลาหนึ่ง
• ความสามารถในการทำงานกับลูกค้าหลายคน
• ความสามารถในการบังคับให้เข้าสู่ระบบอีกครั้งเมื่อผู้ใช้คลิกออกจากระบบจากลูกค้าเฉพาะ (เพื่อป้องกันบางคน "ยกเลิกการลบ" โทเค็นไคลเอนต์หลังจากที่ผู้ใช้เดินออกไป - ดูความคิดเห็นสำหรับข้อมูลเพิ่มเติม)

การแก้ไขปัญหา:

• ใช้อายุสั้น (<5m) การเข้าถึงโทเค็นจับคู่กับอาศัยอยู่อีกต่อไป (ไม่กี่ชั่วโมง) ลูกค้าเก็บไว้รีเฟรชโทเค็น
• ทุกคำขอจะตรวจสอบวันหมดอายุของโทเค็นการรับรองความถูกต้องหรือการรีเฟรชเพื่อความถูกต้อง
• เมื่อโทเค็นการเข้าถึงหมดอายุไคลเอนต์ใช้โทเค็นการรีเฟรชเพื่อฟื้นฟูโทเค็นการเข้าถึง
• ระหว่างการตรวจสอบโทเค็นการรีเฟรชเซิร์ฟเวอร์จะตรวจสอบบัญชีดำขนาดเล็กของรหัสผู้ใช้ - หากพบว่าปฏิเสธคำขอให้รีเฟรช
• เมื่อลูกค้าไม่มีการรีเฟรชที่ถูกต้อง (ไม่หมดอายุ) หรือโทเค็นการตรวจสอบความถูกต้องผู้ใช้จะต้องกลับเข้าสู่ระบบเนื่องจากคำขออื่น ๆ ทั้งหมดจะถูกปฏิเสธ
• ตามคำขอเข้าสู่ระบบให้ตรวจสอบที่เก็บข้อมูลผู้ใช้เพื่อห้าม
• เมื่อล็อกเอาต์ - เพิ่มผู้ใช้นั้นในบัญชีดำเซสชันเพื่อให้พวกเขาต้องลงชื่อเข้าใช้อีกครั้งคุณจะต้องเก็บข้อมูลเพิ่มเติมเพื่อไม่ให้ออกจากระบบของอุปกรณ์ทั้งหมดในสภาพแวดล้อมที่มีหลายอุปกรณ์ แต่สามารถทำได้โดยการเพิ่มฟิลด์อุปกรณ์ลงใน บัญชีดำของผู้ใช้
• หากต้องการบังคับให้เข้าสู่ระบบอีกครั้งหลังจากระยะเวลา x - รักษาวันที่เข้าสู่ระบบครั้งล่าสุดในโทเค็นรับรองความถูกต้องและตรวจสอบตามคำขอ
• หากต้องการบังคับให้ออกจากระบบผู้ใช้ทั้งหมด - รีเซ็ตคีย์แฮ็กโทเค็น

สิ่งนี้ต้องการให้คุณรักษาบัญชีดำ (สถานะ) บนเซิร์ฟเวอร์โดยสมมติว่าตารางผู้ใช้มีข้อมูลผู้ใช้ที่ถูกแบน บัญชีดำเซสชันไม่ถูกต้อง - เป็นรายการรหัสผู้ใช้ บัญชีดำนี้จะถูกตรวจสอบเฉพาะในระหว่างคำขอโทเค็นการรีเฟรช รายการจะต้องอยู่บนตราบเท่าที่รีเฟรชโทเค็น TTL เมื่อรีเฟรชโทเค็นหมดอายุผู้ใช้จะต้องลงชื่อเข้าใช้อีกครั้ง

จุดด้อย:

• ยังคงต้องทำการค้นหาแหล่งข้อมูลในคำขอโทเค็นการรีเฟรช
• โทเค็นไม่ถูกต้องอาจทำงานต่อไปเพื่อเข้าถึงโทเค็น TTL

ข้อดี:

• มีฟังก์ชั่นที่ต้องการ
• การดำเนินการโทเค็นรีเฟรชถูกซ่อนไว้จากผู้ใช้ภายใต้การทำงานปกติ
• จำเป็นต้องทำการค้นหาแหล่งข้อมูลในคำขอรีเฟรชแทนทุกคำขอ คือ 1 ทุก ๆ 15 นาทีแทน 1 ต่อวินาที
• ลดสถานะฝั่งเซิร์ฟเวอร์ให้เหลือน้อยที่สุด

ด้วยโซลูชันนี้ไม่จำเป็นต้องมีแหล่งเก็บข้อมูลในหน่วยความจำเช่น reddis อย่างน้อยก็ไม่ใช่สำหรับข้อมูลผู้ใช้อย่างที่คุณเป็นเพราะเซิร์ฟเวอร์ใช้การเรียก db ทุก ๆ 15 นาทีเท่านั้น หากใช้ reddis การจัดเก็บรายการเซสชันที่ถูกต้อง / ไม่ถูกต้องจะมีวิธีแก้ปัญหาที่รวดเร็วและง่ายขึ้น ไม่จำเป็นต้องมีโทเค็นการรีเฟรช โทเค็นการรับรองความถูกต้องแต่ละรายการจะมีหมายเลขเซสชันและรหัสอุปกรณ์ซึ่งสามารถเก็บไว้ในตาราง reddis เมื่อสร้างและใช้งานไม่ได้เมื่อเหมาะสม จากนั้นพวกเขาจะถูกตรวจสอบทุกคำขอและปฏิเสธเมื่อไม่ถูกต้อง

วิธีการที่ฉันพิจารณาอยู่เสมอคือการมีมูลค่าiat(ออกที่) ใน JWT จากนั้นเมื่อผู้ใช้ออกจากระบบให้บันทึกเวลาที่บันทึกไว้ในบันทึกของผู้ใช้ เมื่อตรวจสอบความถูกต้องของ JWT เพียงเปรียบเทียบiatกับการประทับเวลาที่ออกจากระบบครั้งล่าสุด หากiatเป็นรุ่นเก่าแสดงว่าไม่ถูกต้อง ใช่คุณต้องไปที่ฐานข้อมูล แต่ฉันจะดึงระเบียนผู้ใช้เสมอถ้า JWT นั้นถูกต้อง

ข้อเสียที่สำคัญที่ฉันเห็นนี้คือมันจะออกจากเซสชันทั้งหมดหากมีหลายเบราว์เซอร์หรือมีไคลเอนต์มือถือด้วย

นี่อาจเป็นกลไกที่ดีสำหรับการยกเลิก JWT ทั้งหมดในระบบ เป็นส่วนหนึ่งของการตรวจสอบอาจจะเป็นกับการประทับเวลาโลกของผู้ที่ถูกต้องที่ผ่านมาiatเวลา

ฉันมาสายนิดหน่อย แต่ฉันคิดว่าฉันมีทางออกที่ดี

ฉันมีคอลัมน์ "last_password_change" ในฐานข้อมูลของฉันที่เก็บวันที่และเวลาที่เปลี่ยนรหัสผ่านครั้งล่าสุด ฉันยังเก็บวันที่ / เวลาที่มีปัญหาใน JWT เมื่อตรวจสอบโทเค็นฉันจะตรวจสอบว่ารหัสผ่านมีการเปลี่ยนแปลงหลังจากที่ออกโทเค็นและหากเป็นโทเค็นจะถูกปฏิเสธแม้ว่ามันจะยังไม่หมดอายุก็ตาม

คุณสามารถมีฟิลด์ "last_key_used" ใน DB ของคุณในเอกสาร / บันทึกของผู้ใช้

เมื่อผู้ใช้ล็อกอินด้วยผู้ใช้และส่งให้สร้างสตริงสุ่มใหม่เก็บไว้ในฟิลด์ last_key_used และเพิ่มลงในเพย์โหลดเมื่อลงนามโทเค็น

เมื่อผู้ใช้ล็อกอินโดยใช้โทเค็นให้ตรวจสอบ last_key_used ในฐานข้อมูลเพื่อให้ตรงกับโทเค็นในโทเค็น

จากนั้นเมื่อผู้ใช้ออกจากระบบเช่นหรือหากคุณต้องการทำให้โทเค็นเป็นโมฆะเพียงแค่เปลี่ยนฟิลด์ "last_key_used" เป็นค่าสุ่มอื่นและการตรวจสอบใด ๆ ที่ตามมาจะล้มเหลวดังนั้นบังคับให้ผู้ใช้เข้าสู่ระบบด้วยผู้ใช้และผ่านอีกครั้ง

เก็บรายการในหน่วยความจำเช่นนี้

user_id   revoke_tokens_issued_before
-------------------------------------
123       2018-07-02T15:55:33
567       2018-07-01T12:34:21

หากโทเค็นของคุณหมดอายุในหนึ่งสัปดาห์ให้ล้างหรือเพิกเฉยต่อระเบียนที่เก่ากว่านั้น ยังเก็บเฉพาะระเบียนล่าสุดของผู้ใช้แต่ละคน ขนาดของรายการจะขึ้นอยู่กับระยะเวลาที่คุณเก็บโทเค็นของคุณและความถี่ที่ผู้ใช้ยกเลิกโทเค็นของพวกเขา ใช้ db เฉพาะเมื่อตารางเปลี่ยนแปลง โหลดตารางในหน่วยความจำเมื่อแอปพลิเคชันของคุณเริ่มทำงาน

------------------------ คำตอบนี้ช้าไปหน่อย แต่อาจเป็นประโยชน์กับใครสักคน ------------- -----------

จากฝั่งไคลเอ็นต์วิธีที่ง่ายที่สุดคือการลบโทเค็นออกจากที่จัดเก็บเบราว์เซอร์

แต่จะเกิดอะไรขึ้นถ้าคุณต้องการทำลายโทเค็นบนเซิร์ฟเวอร์โหนด -

ปัญหาของแพ็คเกจ JWT คือมันไม่มีวิธีการหรือวิธีการทำลายโทเค็น คุณอาจใช้วิธีการต่าง ๆ ที่เกี่ยวข้องกับ JWT ซึ่งกล่าวถึงข้างต้น แต่ที่นี่ฉันไปกับ jwt-redis

ดังนั้นเพื่อทำลายโทเค็นบนเซิร์ฟเวอร์คุณอาจใช้แพ็คเกจ jwt-redis แทน JWT

ไลบรารีนี้ (jwt-redis) ทำซ้ำฟังก์ชันการทำงานทั้งหมดของไลบรารี jsonwebtoken ซ้ำอย่างสมบูรณ์ด้วยการเพิ่มที่สำคัญอย่างหนึ่ง Jwt-redis ช่วยให้คุณสามารถเก็บป้ายโทเค็นใน Redis เพื่อตรวจสอบความถูกต้อง การไม่มีโทเค็นฉลากเป็นสีแดงทำให้โทเค็นไม่ถูกต้อง เพื่อทำลายโทเค็นใน jwt-redis มีวิธีทำลาย

มันทำงานในลักษณะนี้:

1) ติดตั้ง jwt-redis จาก npm

2) การสร้าง -

var redis = require('redis');
var JWTR =  require('jwt-redis').default;
var redisClient = redis.createClient();
var jwtr = new JWTR(redisClient);

jwtr.sign(payload, secret)
    .then((token)=>{
            // your code
    })
    .catch((error)=>{
            // error handling
    });

3) เพื่อตรวจสอบ -

jwtr.verify(token, secret);

4) การทำลาย -

jwtr.destroy(token)

หมายเหตุ : คุณสามารถระบุ expiresIn ในระหว่างการลงชื่อเข้าใช้โทเค็นเช่นเดียวกับที่มีให้ใน JWT

อาจจะเป็นสิ่งนี้จะช่วยให้ใครบางคน

ทำไมไม่ใช้เพียงการอ้างสิทธิ์ jti (ไม่ใช่) และเก็บไว้ในรายการเป็นเขตข้อมูลบันทึกผู้ใช้ (ขึ้นอยู่กับ db แต่อย่างน้อยที่สุดรายการที่คั่นด้วยเครื่องหมายจุลภาคก็ใช้ได้) ไม่จำเป็นต้องค้นหาแยกต่างหากเนื่องจากคนอื่น ๆ ได้ชี้ให้เห็นว่าคุณต้องการรับบันทึกผู้ใช้และด้วยวิธีนี้คุณสามารถมีโทเค็นที่ถูกต้องหลายรายการสำหรับไคลเอนต์อินสแตนซ์ต่าง ๆ ("ออกจากระบบทุกหนทุกแห่ง"

1. ให้เวลาหมดอายุ 1 วันสำหรับโทเค็น
2. รักษาบัญชีดำทุกวัน
3. ใส่โทเค็นที่ไม่ถูกต้อง / ออกจากระบบให้เป็นรายการที่ไม่อนุญาต

สำหรับการตรวจสอบความถูกต้องของโทเค็นให้ตรวจสอบเวลาที่โทเค็นหมดอายุก่อนจากนั้นบัญชีดำถ้าโทเค็นไม่หมดอายุ

สำหรับความต้องการของเซสชันที่ยาวนานควรมีกลไกสำหรับการขยายเวลาหมดอายุของโทเค็น

ไปงานปาร์ตี้สายสองเซ็นต์ของฉันได้รับด้านล่างหลังจากการวิจัยบางอย่าง ระหว่างออกจากระบบตรวจสอบให้แน่ใจว่ามีสิ่งต่าง ๆ ต่อไปนี้เกิดขึ้น ...

ล้างการจัดเก็บข้อมูลลูกค้า / เซสชั่น

อัปเดตตารางผู้ใช้ล่าสุดวันที่เข้าสู่ระบบเวลาและวันที่ออกจากระบบเวลาเมื่อใดก็ตามที่เข้าสู่ระบบหรือออกจากระบบเกิดขึ้นตามลำดับ ดังนั้นเวลาวันที่เข้าสู่ระบบควรมากกว่าการออกจากระบบเสมอ (หรือเก็บวันที่ออกจากระบบเป็นโมฆะหากสถานะปัจจุบันคือการเข้าสู่ระบบและยังไม่ออกจากระบบ)

นี่เป็นวิธีที่ง่ายกว่าการเก็บตารางบัญชีดำและกวาดล้างอย่างสม่ำเสมอ การสนับสนุนอุปกรณ์หลายรายการต้องใช้ตารางเพิ่มเติมเพื่อเก็บข้อมูลล็อกอินวันที่ล็อกเอาต์พร้อมรายละเอียดเพิ่มเติมบางอย่างเช่นรายละเอียด OS- หรือไคลเอนต์

ที่ไม่ซ้ำกันต่อสตริงผู้ใช้และสตริงทั่วโลกแฮชเข้าด้วยกัน

นี่คือตัวอย่าง:

HEADER:ALGORITHM & TOKEN TYPE

{
  "alg": "HS256",
  "typ": "JWT"
}
PAYLOAD:DATA

{
  "sub": "1234567890",
  "some": "data",
  "iat": 1516239022
}
VERIFY SIGNATURE

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  HMACSHA256('perUserString'+'globalString')
)

where HMACSHA256 is your local crypto sha256
  nodejs 
    import sha256 from 'crypto-js/sha256';
    sha256(message);

ตัวอย่างการใช้งานดูhttps://jwt.io (ไม่แน่ใจว่าพวกเขาจัดการกับความลับแบบไดนามิก 256 บิต)

ฉันทำตามวิธีต่อไปนี้:

1. สร้างunique hashแล้วเก็บไว้ในRedisของคุณและJWT สิ่งนี้สามารถเรียกว่าเซสชั่น
   • นอกจากนี้เรายังจะจัดเก็บจำนวนคำขอที่JWTทำโดยเฉพาะ- ทุกครั้งที่ส่ง jwt ไปยังเซิร์ฟเวอร์เราจะเพิ่มจำนวนเต็มของคำขอ (นี่เป็นตัวเลือก)

ดังนั้นเมื่อผู้ใช้บันทึกในกัญชาที่ไม่ซ้ำกันจะถูกสร้างขึ้นเก็บไว้ใน Redis และฉีดเข้าไปในของคุณJWT

เมื่อผู้ใช้พยายามที่จะเยี่ยมชมจุดสิ้นสุดที่ได้รับการป้องกันคุณจะคว้าแฮชเซสชั่นที่ไม่ซ้ำกันจากJWTของคุณค้นหาคำถามใหม่และดูว่าตรงกันหรือไม่!

เราสามารถขยายจากสิ่งนี้และทำให้JWTของเราปลอดภัยยิ่งขึ้นด้วยวิธีการดังต่อไปนี้:

Xทุกคำขอที่JWTทำขึ้นมาเราสร้างเซสชันใหม่ที่ไม่ซ้ำกันเก็บไว้ในJWTของเราแล้วขึ้นบัญชีดำที่แล้ว

ซึ่งหมายความว่าJWTมีการเปลี่ยนแปลงอยู่ตลอดเวลาและหยุดยั้งการที่JWTถูกแฮ็กถูกขโมยหรืออย่างอื่น

หากคุณต้องการที่จะเพิกถอนโทเค็นผู้ใช้คุณสามารถติดตามโทเค็นที่ออกให้ทั้งหมดในฐานข้อมูลของคุณและตรวจสอบว่าพวกเขาถูกต้อง (มีอยู่) บนตารางเหมือนเซสชัน ข้อเสียคือคุณจะกดฐานข้อมูลได้ทุกคำขอ

ฉันยังไม่ได้ลอง แต่ฉันขอแนะนำวิธีการต่อไปนี้เพื่ออนุญาตการเพิกถอนโทเค็นในขณะที่รักษาความนิยม DB ให้น้อยที่สุด -

หากต้องการลดอัตราการตรวจสอบฐานข้อมูลให้แบ่งโทเค็น JWT ที่ออกให้ทั้งหมดออกเป็นกลุ่ม X ตามการเชื่อมโยงที่กำหนดขึ้นบางอย่าง (เช่น 10 กลุ่มด้วยตัวเลขแรกของรหัสผู้ใช้)

โทเค็น JWT แต่ละอันจะเก็บ id กลุ่มและเวลาประทับที่สร้างขึ้นจากการสร้างโทเค็น เช่น,{ "group_id": 1, "timestamp": 1551861473716 }

เซิร์ฟเวอร์จะเก็บรหัสกลุ่มทั้งหมดในหน่วยความจำและแต่ละกลุ่มจะมีการประทับเวลาที่ระบุว่าเมื่อใดคือเหตุการณ์การออกจากระบบครั้งสุดท้ายของผู้ใช้ที่อยู่ในกลุ่มนั้น เช่น,{ "group1": 1551861473714, "group2": 1551861487293, ... }

คำร้องขอที่มีโทเค็น JWT ที่มีการประทับเวลากลุ่มแบบเก่าจะถูกตรวจสอบความถูกต้อง (การเข้าใช้ฐานข้อมูล) และหากถูกต้องโทเค็น JWT ใหม่ที่มีการประทับเวลาใหม่จะออกให้สำหรับการใช้ในอนาคตของลูกค้า หากการประทับเวลากลุ่มของโทเค็นใหม่กว่าเราเชื่อมั่นใน JWT (ไม่มีการโจมตีฐานข้อมูล)

ดังนั้น -

1. เราตรวจสอบโทเค็น JWT โดยใช้ฐานข้อมูลเท่านั้นหากโทเค็นมีการประทับเวลากลุ่มแบบเก่าในขณะที่คำขอในอนาคตจะไม่ได้รับการตรวจสอบจนกว่าจะมีใครบางคนในกลุ่มของผู้ใช้จะออกจากระบบ
2. เราใช้กลุ่มเพื่อ จำกัด จำนวนการเปลี่ยนแปลงเวลา (บอกว่ามีผู้ใช้เข้าและออกเหมือนไม่มีวันพรุ่งนี้ - จะมีผลเฉพาะกับจำนวนผู้ใช้ที่ จำกัด แทนที่จะเป็นทุกคน)
3. เรา จำกัด จำนวนกลุ่มเพื่อ จำกัด จำนวนการประทับเวลาที่เก็บไว้ในหน่วยความจำ
4. การทำให้โทเค็นเป็นโมฆะง่ายเพียงลบออกจากตารางเซสชันและสร้างการประทับเวลาใหม่สำหรับกลุ่มผู้ใช้

หากตัวเลือก "ออกจากระบบจากอุปกรณ์ทั้งหมด" เป็นที่ยอมรับ (ในกรณีส่วนใหญ่จะเป็น):

• เพิ่มฟิลด์รุ่นโทเค็นลงในบันทึกผู้ใช้
• เพิ่มค่าในฟิลด์นี้ลงในการอ้างสิทธิ์ที่เก็บไว้ใน JWT
• เพิ่มรุ่นทุกครั้งที่ผู้ใช้ออกจากระบบ
• เมื่อตรวจสอบความถูกต้องโทเค็นจะเปรียบเทียบการอ้างสิทธิ์เวอร์ชันกับเวอร์ชันที่เก็บไว้ในบันทึกของผู้ใช้และปฏิเสธหากไม่เหมือนกัน

db trip เพื่อรับเร็กคอร์ดผู้ใช้ในกรณีส่วนใหญ่จำเป็นต้องมีอยู่แล้วดังนั้นจึงไม่เพิ่มค่าใช้จ่ายในกระบวนการตรวจสอบ ซึ่งแตกต่างจากการรักษาบัญชีดำที่โหลด DB มีความสำคัญเนื่องจากความจำเป็นในการใช้การเข้าร่วมหรือการโทรแยกต่างหากทำความสะอาดระเบียนเก่าและอื่น ๆ

ฉันจะตอบถ้าเราต้องการให้ออกจากระบบคุณสมบัติทั้งหมดของอุปกรณ์เมื่อเราใช้ JWT วิธีนี้จะใช้การค้นหาฐานข้อมูลสำหรับแต่ละคำขอ เนื่องจากเราต้องการสถานะความปลอดภัยที่มีอยู่แม้ว่าเซิร์ฟเวอร์จะมีปัญหา ในตารางผู้ใช้เราจะมีสองคอลัมน์

1. LastValidTime (ค่าเริ่มต้น: เวลาสร้าง)
2. ลงชื่อเข้าใช้ (ค่าเริ่มต้น: จริง)

เมื่อใดก็ตามที่มีคำขอออกจากระบบผู้ใช้เราจะอัปเดต LastValidTime เป็นเวลาปัจจุบันและลงชื่อเข้าใช้เป็นเท็จ หากมีคำขอเข้าสู่ระบบเราจะไม่เปลี่ยน LastValidTime แต่การเข้าสู่ระบบจะถูกตั้งค่าเป็นจริง

เมื่อเราสร้าง JWT เราจะมีเวลาสร้าง JWT ในส่วนของข้อมูล เมื่อเราอนุญาตบริการเราจะตรวจสอบ 3 เงื่อนไข

1. JWT นั้นถูกต้อง
2. JWT คือเวลาสร้างเพย์โหลดมากกว่า User LastValidTime หรือไม่
3. เป็นผู้ใช้เข้าสู่ระบบ

ให้ดูสถานการณ์จริง

User X มีอุปกรณ์สองตัว A, B เขาล็อกอินเข้าสู่เซิร์ฟเวอร์ของเราเวลา 19.00 น. โดยใช้อุปกรณ์ A และอุปกรณ์ B (สมมติว่า JWT หมดอายุเวลา 12 ชั่วโมง) A และ B ทั้งคู่มี JWT กับ createdTime: 19:00

เวลา 21.00 น. เขาทำอุปกรณ์ของเขาหาย B. เขาออกจากระบบทันทีในขณะที่รายการผู้ใช้ X ฐานข้อมูลของเรามี LastValidTime เป็น "ThatDate: 9: 00: xx: xxx" และลงชื่อเข้าใช้ด้วย "เท็จ"

เวลา 9.30 น. Mr.Thief พยายามเข้าสู่ระบบโดยใช้อุปกรณ์ B เราจะตรวจสอบฐานข้อมูลแม้กระทั่ง Logged-In นั้นเป็นเท็จดังนั้นเราจึงไม่อนุญาต

เวลา 22.00 น. Mr.X ลงชื่อเข้าใช้จากอุปกรณ์ของเขา A. ตอนนี้อุปกรณ์ A มี JWT พร้อมเวลาที่สร้าง: 22.00 น. ขณะนี้ฐานข้อมูลที่ล็อกอินถูกตั้งค่าเป็น "true"

เวลา 22:30 น. Mr.Thief พยายามลงชื่อเข้าใช้แม้ว่าการล็อกอินจะเป็นจริง LastValidTime คือ 21:00 น. ในฐานข้อมูล แต่ JWT ของ B ได้สร้างเวลาเป็น 19.00 น. ดังนั้นเขาจะไม่ได้รับอนุญาตให้เข้าถึงบริการ ดังนั้นการใช้อุปกรณ์ B โดยไม่มีรหัสผ่านเขาจึงไม่สามารถใช้ JWT ที่สร้างขึ้นแล้วหลังจากที่มีการออกจากระบบหนึ่งอุปกรณ์

โซลูชัน IAM เช่น Keycloak (ซึ่งฉันใช้งานได้) มอบจุดสิ้นสุดการเพิกถอนโทเค็นเช่น

จุดสิ้นสุดการเพิกถอนโทเค็น /realms/{realm-name}/protocol/openid-connect/revoke

หากคุณต้องการออกจากระบบผู้ใช้ (หรือผู้ใช้) คุณสามารถโทรหาจุดปลายได้เช่นกัน (สิ่งนี้จะทำให้โทเคนใช้ไม่ได้) อีกครั้งในกรณีของ Keycloak Relying Party ก็แค่เรียกจุดปลายทาง

/realms/{realm-name}/protocol/openid-connect/logout

เชื่อมโยงในกรณีที่คุณต้องการเรียนรู้เพิ่มเติม

ดูเหมือนว่าจะแก้ปัญหาได้ยากโดยไม่ต้องค้นหา DB เพื่อยืนยันโทเค็นทุกครั้ง ทางเลือกอื่นที่ฉันสามารถนึกได้คือเก็บบัญชีดำของโทเค็นเซิร์ฟเวอร์ที่ไม่ถูกต้อง ซึ่งควรได้รับการอัพเดตในฐานข้อมูลทุกครั้งที่มีการเปลี่ยนแปลงเกิดขึ้นเพื่อยืนยันการเปลี่ยนแปลงในการรีสตาร์ทโดยให้เซิร์ฟเวอร์ตรวจสอบฐานข้อมูลเมื่อรีสตาร์ทเพื่อโหลดบัญชีดำปัจจุบัน

แต่ถ้าคุณเก็บไว้ในหน่วยความจำเซิร์ฟเวอร์ (ตัวแปรทั่วโลก) มันจะไม่สามารถปรับขนาดข้ามหลายเซิร์ฟเวอร์ถ้าคุณใช้มากกว่าหนึ่งดังนั้นในกรณีนี้คุณสามารถเก็บไว้ในแคช Redis ที่ใช้ร่วมกันซึ่งควรจะเป็น ติดตั้งเพื่อคงข้อมูลไว้ที่ใดที่หนึ่ง (ระบบฐานข้อมูล? ระบบไฟล์) ในกรณีที่ต้องรีสตาร์ทและทุกครั้งที่เซิร์ฟเวอร์ใหม่ถูกปั่นมันจะต้องสมัครแคช Redis

คุณสามารถทำได้โดยใช้แฮชที่บันทึกไว้ใน Redis ต่อเซสชันเนื่องจากคำตอบอื่น ๆ นี้ชี้ให้เห็น (ไม่แน่ใจว่าจะมีประสิทธิภาพมากกว่าเมื่อมีผู้ใช้หลายคนเข้าสู่ระบบ)

มันฟังดูซับซ้อนหรือไม่? มันทำให้ฉัน!

คำเตือน: ฉันไม่ได้ใช้ Redis

หากคุณใช้ axios หรือการร้องขอ HTTP ตามสัญญาที่คล้ายกันคุณสามารถทำลายโทเค็นที่ส่วนหน้าภายใน.then()ส่วนได้ มันจะเปิดตัวในการตอบสนองแล้ว. () ส่วนหลังจากที่ผู้ใช้ดำเนินการฟังก์ชั่นนี้ (รหัสผลลัพธ์จากจุดสิ้นสุดของเซิร์ฟเวอร์จะต้องตกลง 200) หลังจากที่ผู้ใช้คลิกที่เส้นทางนี้ในขณะที่ค้นหาข้อมูลถ้าเขตข้อมูลฐานข้อมูลuser_enabledเป็นเท็จมันจะทริกเกอร์ทำลายโทเค็นและผู้ใช้จะถูกออกจากระบบทันทีและหยุดการเข้าถึงเส้นทาง / เพจที่ได้รับการป้องกัน เราไม่ต้องรอให้โทเค็นหมดอายุในขณะที่ผู้ใช้เข้าสู่ระบบอย่างถาวร

function searchForData() {   // front-end js function, user searches for the data
    // protected route, token that is sent along http request for verification
    var validToken = 'Bearer ' + whereYouStoredToken; // token stored in the browser 

    // route will trigger destroying token when user clicks and executes this func
    axios.post('/my-data', {headers: {'Authorization': validToken}})
     .then((response) => {
   // If Admin set user_enabled in the db as false, we destroy token in the browser localStorage
       if (response.data.user_enabled === false) {  // user_enabled is field in the db
           window.localStorage.clear();  // we destroy token and other credentials
       }  
    });
     .catch((e) => {
       console.log(e);
    });
}

ฉันเพิ่งบันทึกโทเค็นลงในตารางผู้ใช้เมื่อผู้ใช้ลงชื่อเข้าใช้ฉันจะอัปเดตโทเค็นใหม่และเมื่อรับรองความถูกต้องเท่ากับ jwt ปัจจุบันของผู้ใช้

ฉันคิดว่านี่ไม่ใช่ทางออกที่ดีที่สุด แต่ใช้งานได้สำหรับฉัน