آیلین کریم نژاد
1 سال پیش توسط آیلین کریم نژاد مطرح شد
4 پاسخ

اسنفاده از رفرش توکن

چرا باید از رفرش توکن استفاده کنیم وقتی می تونیم با تموم شدن اکسس توکن یه توکن جدید بسازیم؟


ثبت پرسش جدید
پویا باقری
تخصص : برنامه نویس وب
@Pouyab 1 سال پیش مطرح شد
-1

سلام
ببینید اصولا JWT نیازی به ذخیره سازی سمت سرور نداره. و همه اطلاعات به صورت رمزگذاری شده درون خودش ذخیره شده.
به عبارتی access token سیستم احراز برنامه شما رو درگیر نمیکنه و تنها تطابق میده با اطلاعات ذخیره سازی شده درون توکن.
سیستم oauth هم به این صورت کار میکنه که refresh token شما درون یک کوکی httponly ذخیره میشه.
Best Practice این هست که از هردو این توکن ها در کنار همدیگه استفاده کنید تا سیستم به صورت مکرر و در زمان های کوتاه امنیت برنامه رو ارزیابی کنه


0

سلام اقا پویا خوبی؟می دونی من رفرش توکن رو داخل دیتابیس مونگو ذخیره میکنم هر وقت رفرش توکن صدا زده بشه می رم استعلام می گیرم و تعداد یکی از رفرش ها توکن هارو براش کم میکنم کارم اشتباهه؟ درکل نیاز دارم رفرش توکن استعلام کنم و هرکاربر 20 تا رفرش توکن و هررفرش توکن برای 90 تا اکسس توکنه از من می تونه بگیره تموم بشه دوباره باید واردبشه.این فچ کردن دیتابیس خیلی سنگین میشه؟
@Pouyab


پویا باقری
تخصص : برنامه نویس وب
@Pouyab 1 سال پیش مطرح شد
-1

سلام خیلی ممنون.
سیستم احراز بر پایه refresh و access یک سیستم غیرمتمرکز هست. ذخیره توکن ها در دیتابیس احراز شما رو متمرکز میکنه.
اگر بنا به دلایلی نیاز دارید که توکن رو ذخیره کنید حتما از چیزی مثل TTL ردیس و همچنین rotation و blacklist توکن استفاده کنید.
در این صورت کاربر همیشه فقط یک رفرش معتبر داره که تنها یک بار قابل استفاده هست و بعد وارد blacklist میشه و یک refresh و access جدید برگشت داده میشه.
refresh همون اطلاعات احراز شده شماست که توسط سیستم احراز هویت رمزنگاری و امضا شده. پس کاملا امن نگهش دارید.
دلیل این مدل پیاده سازی رو نمیدونم اما امیدورارم جوابتونو گرفته باشید.


0

اره داداشم دیشب گفت از ردیس استفاده کنم منم دیشب نصبش کردم الان اومدم دارم مستنداتشو میخونم استادم همچین پروژه ای رو داده انجام بدم دیوووونم کرده خدا خفش کنه با من لجه .
@Pouyab


برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام