访问令牌和刷新令牌最佳实践？如何实现访问和刷新令牌

Posted 2023-03-07

【中文标题】访问令牌和刷新令牌最佳实践？如何实现访问和刷新令牌

【英文标题】：Access token and Refresh token best practices ? How to implement Access & Refresh Tokens

【发布时间】：2020-11-09 22:13:42

【问题描述】：

我正在制作 SPA，并决定使用 JWT 进行身份验证/授权，并且我阅读了一些关于 Tokens vs Cookies 的博客。我了解 cookie 授权的工作原理，并了解基本令牌授权的工作原理。问题是，我看不出刷新令牌如何适应它，在我看来它降低了安全性。让我解释一下，正如我所看到的：

Cookie 方法

当您通过用户名和密码验证用户身份时，您会创建与该用户关联的会话 ID。并将其设置为 cookie，每次客户端调用您的服务器时，它都会发送该 cookie，服务器可以在数据库或其他服务器端存储中查找关联的用户。

这种方法容易受到CSRF（跨站请求伪造）的攻击，为了防止CSRF你可以使用cookie和token

服务器还需要不断查找存储以查看 cookie 指向的用户。

代币方式

当您通过用户名和密码对用户进行身份验证时，您会创建一个签名令牌，其中包含到期日期、电子邮件地址或用户 ID、角色等。对于安全令牌应该有很短的到期时间。令牌可以存储在任何地方本地存储、会话存储、cookies。我将使用本地存储或会话存储来防止 XSRF。

这容易受到 XSS（跨站脚本）的攻击，但您可以通过验证 html 输入来防止这种情况发生。 由于令牌的生命周期较短，令牌过期后用户必须重新登录。

访问令牌和刷新令牌

所以我想使用刷新令牌来防止用户需要不断登录。所以让我们说认证，我给用户访问令牌和刷新令牌，当用户访问令牌过期时，用户可以使用刷新令牌来获取新的访问令牌，这是我没有得到的。

假设我将访问令牌存储在本地存储中。如果我还将刷新令牌存储在本地存储中，我认为它没有任何用处。因为如果攻击者可以访问本地存储并获得访问令牌，他也可以获得刷新令牌。那么在这种情况下，为什么不让 Access 令牌长期存在呢。 如果将 Refresh 令牌存储为 cookie，它很容易受到 XSRF 的攻击，然后攻击者可以获得新的访问令牌，并使用它。同样在这一点上，为什么不直接使用 Cookie 授权？因为您已经必须在本地存储中查找刷新令牌，尽管这种情况发生的频率低于纯 cookie 授权。

最佳做法是什么？

目前我正在考虑使用：

访问令牌（本地存储，短期） 刷新令牌（Cookie，长寿命） 刷新令牌的令牌（为了防止 XSFR，本地存储，一次使用后过期）

假设它看起来像这样：

  +--------+                                           +---------------+
  |        |------------ Authorization Grant --------->|               |
  |        |                                           |               |
  |        |<--------------- Access Token -------------|               |
  |        |               & Refresh Token (cookie)    |               |
  |        |               & XSRF Token                |               |
  |        |                                           |               |
  |        |                                           |               |
  |        |--------- Access Token ------------------->|               |
  |        |                                           |               |
  |        |<----- Protected Resource -----------------|               |
  | Client |                                           |     Server    |
  |        |--------- Access Token ------------------->|               |
  |        |                                           |               |
  |        |<----- Invalid Token Error ----------------|               |
  |        |                                           |               |
  |        |                                           |               |
  |        |---------------- Refresh Token ----------->|               |
  |        |               & XSRF Token                |               |
  |        |                                           |               |
  |        |<--------------- Access Token -------------|               |
  |        |               & XSRF Token                |               |
  +--------+               & Optional Refresh Token    +---------------+

每次使用 Refresh 令牌时，服务器都会发出新的 XSRF 令牌（使用一个 XSRF 令牌后，它会停止工作，服务器会发出新的令牌）。 你对这个实现有什么看法？在我看来，这限制了服务器对数据库的查找，因为它使用访问令牌，访问令牌是短暂的，并且用户不必经常登录，因为它使用刷新令牌/cookie 女巫受 XSRF 令牌保护。

这样可以吗？

谢谢！

【参考方案1】：

关于访问令牌和刷新令牌

将访问令牌视为“脏”令牌。代币你分享了很多。我不必是您将令牌传递到的一台服务器，可以是多个服务器。因此，攻击面上升。如果一台服务器做了一些愚蠢的事情，比如将令牌写入服务器日志，然后将日志暴露给世界，你希望限制负面影响，因此访问令牌是短暂的，以限制攻击者可以做恶意行为的时间。

另一方面，刷新令牌是“干净”令牌。您为自己存储的东西以记住并仅在必要时使用它。当然，如果攻击者获得了对您的计算机和用户代理的物理访问权，那么游戏就结束了。但是在这里我们尝试保护免受远程攻击者的攻击。只有在与身份验证服务器或身份验证端点通信时才应使用刷新令牌。如果您决定将其设为 cookie - 您可以 - 只需记住将目录路径限制为仅将令牌传递到的 REST 端点。

关于您的解决方案

我觉得很好看。也许我不会为了省力而实施 XSRF 令牌。我的意思是，如果有人试图通过 CSRF 进行攻击，可能发生的最糟糕的事情是什么？他也许可以让你刷新你的令牌。但是令牌不会仅仅因为 CSRF 而暴露给攻击者。

还有一件事

我喜欢你的问题。真的写的很好！ :)

【讨论】：

是否有任何架构设计客户端永远无法访问刷新令牌，并且对新访问令牌的请求在幕后进行管理（具有前端 -> 后端 -> 授权服务器架构，后端实现所有的逻辑）。有人听说过这个想法吗？