JWT для API без сохранения состояния, но управление сеансом для безопасности

Вы должны создать «черный список» на своем сервере. Если токен необходимо отозвать, поместите его в черный список и установите для него срок действия из списка, когда истечет срок действия токена. При каждой попытке аутентификации вы будете проверять, что входящий JWT не находится в черном списке. Redis может сделать это довольно просто.

В качестве альтернативы рассмотрите возможность использования стороннего сервиса, такого как Stormpath. Отказ от ответственности: я работаю в компании Stormpath. У нас есть API Oauth2, который позволяет вам выдавать токены доступа + обновления (для потока предоставления пароля). Мы обрабатываем отзыв для вас, если вы не возражаете против накладных расходов на вызов REST для проверки состояния токена. См. раздел Использование Stormpath для OAuth 2.0 и управление токенами доступа/обновления. У нас есть удобная поддержка для этого в нашей Express-Stormpath .library.

ну, у меня просто была такая же реализация. добавьте хешированный пароль в токен, и когда клиент вернет токен, во время проверки проверьте, был ли изменен пароль пользователя в БД, если хешированный пароль пользователя не совпадает с тем, который вы вставили в токен, отклоните токен. Таким образом, вам не нужно хранить информацию о пользователе и/или токене на сервере.

Мне не нравится идея белого/черного списка токенов, поэтому в итоге я использовал хешированный пароль пользователя + другой случайный ключ в качестве секретного ключа их токена:

+---------------+------------------------------------+-----------+
|     email     |              password              |    key    |
+---------------+------------------------------------+-----------+
| [email protected] | asfsifj2fij4f4f4f8d9dfhs.8f8fhsd8h | r4nd0Mk3Y |
+---------------+------------------------------------+-----------+

Затем я храню кеш в памяти пользователей id=>password+key для проверки токена каждого пользователя. Таким образом, токены могут быть сброшены, когда: 1) пользователь сбрасывает пароль; 2) приложение меняет пользователя key.

Это почти противоречит цели JWT, но мне нужен этот уровень безопасности для моего варианта использования.

Веб-токен JSON

Веб-токен JSON (JWT) определяется RFC 7519.

Это стандартный метод безопасного представления требований между двумя сторонами. JWT — это автономный токен, который позволяет вам хранить идентификатор пользователя, дату истечения срока действия и все, что вы хотите (но не хранить пароли) в полезной нагрузке, которая представляет собой JSON в кодировке Base64.

Полезная нагрузка может быть прочитана клиентом, а целостность токена можно легко проверить, проверив его подпись на сервере.

Отслеживание ваших токенов

Вам не нужно будет сохранять токены JWT, если вам не нужно их отслеживать.

Хотя, сохраняя токены, у вас будет возможность сделать их недействительными и отозвать доступ к ним. Чтобы отслеживать токены JWT, вместо сохранения всего токена можно сохранить идентификатор токена (jti) и некоторые метаданные (пользователь, для которого вы выдали токен, срок действия и т. д.), если вам нужно.

Ваше приложение может предоставлять некоторые функции для отзыва токенов, но всегда рассмотрите возможность отзыва токенов, когда пользователи меняют свой пароль.

При сохранении токенов всегда рассмотрите возможность удаления старых, чтобы предотвратить бесконечный рост базы данных.

Дополнительная информация

При отправке конфиденциальных данных по сети вашим лучшим другом является HTTPS, который защищает ваше приложение от атака «человек посередине».

Чтобы найти полезные ресурсы для работы с JWT, посетите http://jwt.io/.