我正在制作SPA,并决定使用JWT进行身份验证/授权,我已经阅读了一些关于令牌与Cookie的博客。我知道Cookie授权是如何工作的,并且了解基本令牌授权的工作原理。问题是,我不知道刷新令牌在其中如何适用,因为在我看来,它可能会降低安全性。让我解释一下我的想法:
Cookie 授权方式: 当您通过用户名和密码对用户进行身份验证时,会创建与该用户关联的会话ID。并将其设置为Cookie,每次客户端调用您的服务器时,它都会发送该Cookie,服务器可以查找与之关联的用户在数据库或某些其他服务器端存储上。
这种方法容易受到 CSRF (跨站请求伪造) 的攻击。为了防止CSRF,您可以使用带有cookie的令牌。此外,服务器还需要不断查找存储以查看 Cookie 指向哪个用户。
Token 授权方式: 当您通过用户名和密码对用户进行身份验证时,会创建一个签名的令牌,其中包含过期日期、电子邮件地址或用户ID、角色等信息。出于安全考虑,令牌应具有较短的过期时间。令牌可以存储在任何地方,例如本地存储、会话存储、Cookie中等。我将使用本地存储或会话存储来防止 XSRF (跨站脚本) 攻击。
这种方法容易受到 XSS (跨站脚本) 的攻击,但您可以通过验证HTML输入来防止此类攻击。由于令牌的生命周期很短,当令牌过期时,用户必须重新登录。
访问令牌和刷新令牌: 因此,我想使用刷新令牌来避免用户需要不断登录。例如,在进行身份验证时,我会为用户提供访问令牌和刷新令牌。当用户的访问令牌过期时,用户可以使用刷新令牌获取新的访问令牌。
以下是我的困惑:
- 如果我将访问令牌存储在本地存储中,同时也将刷新令牌存储在本地存储中,那么我不认为它有任何用处。因为如果攻击者可以访问本地存储并获取访问令牌,则他也可以获取刷新令牌。因此,在这种情况下,为什么不使用长寿命的访问令牌? - 如果您将刷新令牌存储为Cookie,则该Cookie容易受到XSRF的攻击,然后攻击者可以获取新的访问令牌并使用它。此时,为什么不直接使用Cookie授权呢?因为您已经必须查找本地存储以获取刷新令牌,尽管这比使用纯Cookie授权发生的频率要少得多。 最佳实践是什么? 目前,我正在考虑使用以下方法:
- 访问令牌 (本地存储,生命周期短) - 刷新令牌 (Cookie,生命周期长) - 用于刷新令牌的令牌(用于防止XSRF,本地存储,一次性使用)
假设我的解决方案如下:
Cookie 授权方式: 当您通过用户名和密码对用户进行身份验证时,会创建与该用户关联的会话ID。并将其设置为Cookie,每次客户端调用您的服务器时,它都会发送该Cookie,服务器可以查找与之关联的用户在数据库或某些其他服务器端存储上。
这种方法容易受到 CSRF (跨站请求伪造) 的攻击。为了防止CSRF,您可以使用带有cookie的令牌。此外,服务器还需要不断查找存储以查看 Cookie 指向哪个用户。
Token 授权方式: 当您通过用户名和密码对用户进行身份验证时,会创建一个签名的令牌,其中包含过期日期、电子邮件地址或用户ID、角色等信息。出于安全考虑,令牌应具有较短的过期时间。令牌可以存储在任何地方,例如本地存储、会话存储、Cookie中等。我将使用本地存储或会话存储来防止 XSRF (跨站脚本) 攻击。
这种方法容易受到 XSS (跨站脚本) 的攻击,但您可以通过验证HTML输入来防止此类攻击。由于令牌的生命周期很短,当令牌过期时,用户必须重新登录。
访问令牌和刷新令牌: 因此,我想使用刷新令牌来避免用户需要不断登录。例如,在进行身份验证时,我会为用户提供访问令牌和刷新令牌。当用户的访问令牌过期时,用户可以使用刷新令牌获取新的访问令牌。
以下是我的困惑:
- 如果我将访问令牌存储在本地存储中,同时也将刷新令牌存储在本地存储中,那么我不认为它有任何用处。因为如果攻击者可以访问本地存储并获取访问令牌,则他也可以获取刷新令牌。因此,在这种情况下,为什么不使用长寿命的访问令牌? - 如果您将刷新令牌存储为Cookie,则该Cookie容易受到XSRF的攻击,然后攻击者可以获取新的访问令牌并使用它。此时,为什么不直接使用Cookie授权呢?因为您已经必须查找本地存储以获取刷新令牌,尽管这比使用纯Cookie授权发生的频率要少得多。 最佳实践是什么? 目前,我正在考虑使用以下方法:
- 访问令牌 (本地存储,生命周期短) - 刷新令牌 (Cookie,生命周期长) - 用于刷新令牌的令牌(用于防止XSRF,本地存储,一次性使用)
假设我的解决方案如下:
+--------+ +---------------+
| |------------ Authorization Grant --------->| |
| | | |
| |<--------------- Access Token -------------| |
| | & Refresh Token (cookie) | |
| | & XSRF Token | |
| | | |
| | | |
| |--------- Access Token ------------------->| |
| | | |
| |<----- Protected Resource -----------------| |
| Client | | Server |
| |--------- Access Token ------------------->| |
| | | |
| |<----- Invalid Token Error ----------------| |
| | | |
| | | |
| |---------------- Refresh Token ----------->| |
| | & XSRF Token | |
| | | |
| |<--------------- Access Token -------------| |
| | & XSRF Token | |
+--------+ & Optional Refresh Token +---------------+
每次使用刷新令牌后,服务器都会发出新的XSRF令牌(在使用一个XSRF令牌后,它将停止工作并且服务器会发出新的令牌)。
你对这种实现有什么看法?在我看来,这限制了服务器对数据库的查询,因为它使用了访问令牌。访问令牌是短暂的,用户不必经常登录,因为它使用刷新令牌/cookie,而这些是由XSRF令牌保护的。
这样做可以吗?
谢谢!