Security Researcher | Full Stack Developer
پیادهسازی Refresh Token در Nodejs
خیلی وقتها تو پروژههای کوچیک زمانی که میخوایم احراز هویت رو به صورت Token Base پیادهسازی کنیم، فقط AccessToken رو در نظر میگیریم، در صورتی که در واقع میشه گفت تو بیشتر پروژهها Token Base بدون پیاده سازی RefreshToken کامل نیست.
از مهم ترین دلایلی که نیاز به RefreshToken داریم اینه که:
- فرض کنید AccessToken کاربر به هر دلیل لو میره، پس باید راهی باشه که کاربر بتونه AccessToken قبلیش رو Block کنه.
- نیاز داریم که Logout داشته باشیم.
البته هر دو حالت بالا رو میشه بدون استفاده از RefreshToken هم پیادهسازی کرد، اما راه اصلی اینه که از RefreshToken استفاده کنیم...
نکته مهم دیگه ای که میشه بهش اشاره کرد اینه که از نظر امنیتی نباید ExpireTime برای AccessToken طولانی باشه، چون همونطور که بالاتر توضیح دادم ممکنه به هر دلیل توکن کاربر لو بره. پس میایم ExpireTime رو برای AccessToken یه زمان کوتاه مثلا در حد 15 دقیقه ولی در عوض این زمان رو برای RefreshToken طولانی تر مثلا در حد یک هفته در نظر میگیریم.
و بعد زمانی که به Expire شدن AccessToken نزدیک شدیم، کاربر درخواست Refresh میده تا یک AccessToken دیگه بهش اختصاص داده بشه برای 15 دقیقه.
اگه با RefreshToken آشنا نیستین و یا دوست دارین بیشتر در موردش بدونین، لینکهای زیر میتونه مفید باشه:
خلاصه که بخش Authentication یکی از پروژه ها رو جدا کردم گذاشتم Github که شاید بتونه برای کسی مفید باشه.
(پروژه با Nodejs و Nestjs پیاده سازی شده و توضیحات مرتبط باهاش رو تو Github گذاشتم)
تو حالتهای زیر میتونه قابل استفاده باشه:
- زمانی که میخواین Authentication رو تو پروژههای Nestjsی پیاده سازی کنین.
- برای حالتی که پروژتون Nodejsی نیست ولی میخواین احراز هویت رو به صورت سرویس جدا داشته باشین، که خب تو این حالت هم کار خیلی سادست، User Credentials رو میفرستین برای سرویس Authentication ، بهتون توکن میده، حالا از روی JWT-Secret-Key (که هر دو طرف باید یکی باشه) میاین valid بودن توکنها رو چک میکنید.
تو اولین فرصت Authorization هم بهش اضافه میکنم که کاملتر بشه. (از CASL استفاده میکنم)
لینک repository پروژه:
اینطوری نیست که هر جا Token Base داریم باید حتما Refresh Token هم داشته باشیم...
بیشتر توی این حالت ها نیازه که پیاده سازی بشه:
* توی Single sign-on (SSO) ها
* زمانی که معماری Microserviceه و سرویس احراز هویت جداست.
* زمانی که معماری Monolithicه و احراز هویت بخشی از پروژست.
شاد و موفق باشین :)
مطلبی دیگر از این انتشارات
فریلنسینگ
مطلبی دیگر از این انتشارات
بد افزار اندرویدی در پشت پرده برنامه های افزایش فالوور !
مطلبی دیگر از این انتشارات
تجربه کاری من با ریداکس و context