Какой алгоритм работы с JWT token?

Question

[Cody45]

Добрый день.
Пишу тестовое задание по react. Приложение представляет kanban доску, аналог trello.com, содержит несколько досок и карточки, который можно перетаскивать с доски на доску, и менять их порядок.
Но у меня нет опыта работы с JWT. Я никак не могу понять алгоритм действий. У меня всего две страницы - авторизация и собственно страница с досками.
Помимо API запросов для работы с карточками(с ними я разобрался) есть три запроса связанные с пользователем.
Первый запрос это создание пользователя:
Create user
Recieve data, create new user and return it. Also generate and return JWT token that can be used for authenticated requests
Запрос:

{
"username": "string",
"email": "user@example.com",
"password": "string"
}

Ответ:

{
"username": "string",
"email": "user@example.com",
"password": "string",
"token": "string"
}

Здесь, как я предполагаю, я получаю JWT token
Второй запрос на авторизацию:
Obtain JWT token
Receives data, return token that can be used for authenticated requests
Запрос:

{
"username": "string",
"password": "string"
}

Ответ:

{
"username": "string",
"token": "string"
}

И третий запрос, самый не понятный для меня:
Refreshed JWT token
Receives data adn returns a refreshed token (with new expiration) based on existing token. If 'orig_iat' field (original issued-at-time) is found, will first check if it's within expiration window, then copy it to the new token
Запрос:

{
"token": "string"
}

Ответ:

{
"token": "string"
}

Теперь вопросы, что именно я не могу понять.
Я знаю, что токен JWTкороткоживущий и многоразовый и используется для получения доступа к ресурсам, а Refreshed Token(RT) - долгоживущий, но одноразовый. При регистрации мы получаем JWT и с ним уже можно получить доступ к ресурсам API?
При авторизации мы получаем такой же тип JWT?
Как я понял, токен имеет строк жизни. Как узнать это время?
Как держать состояние (авторизован или нет) в приложении?
Я читал что токен можно хранить в LocalStorage. Есть ли смысл создавать переменную в state isAuth которая будет хранить состояние tru/false?
Как я понял, необходимо при загрузке любой страницы запрашивать состояние токена, не истекло ли его время. Для этого и нужен запрос Refreshed JWT token, который возвращает новую пару JWT + RT?
При каждом запросе, при работе с карточками необходимо делать предварительный запрос на проверку не протух ли токен?
Буду признателен за помощь.

Comments

[Developer]

отформатируй код с помощью тэгов

[Иван Дербенченко]

Сам джун, но уже столкнулся с JWT, отвечу исходя из своего опыта.

1) при авторизации вам бэк отдает access_token (AT) и refresh_token(RT), АТ прикрепляется ко всем запросам к базе, оба токена у меня лежат в localStorage
2) тут смотря как устроен бэк, в вашем примере видно что бэк отдает только один токен (странно ....), так как он один скорее всего он долгоживущий
3) срок жизни токена устанавливает бэк, с него и спрос. В моем случае токен жил 24 часа
4) я уже выше писал что в моем случае они хранились в localStorage. Если хранить в приложении то после обновления страницы теряются оба токена (можно делать проверку в корневом компоненте на наличие в приложении AT и при отсутствии делать обновление токена используя RT)
5) я использовал redux для хранения состояния о авторизации, схема была такой, если при запросе к базе была ошибка о том что токен просрочен, у меня уходил запрос на обновление токена, если страница была перезагружена, у меня сначала шел запрос на верификацию (просрочен или нет), если нет, то дальше продолжаю пользоваться приложением, если да, уходит запрос на восстановление токена

как-то так

Answer 1

[Rsa97]

При авторизации выдаются сразу оба токена, рабочий и refresh. Refresh-токен сохраняется в базе сервера вместе с идентификатором пользователя, рабочий токен хранить смысла нет.

Срок жизни записан в самом токене, как одно из полей полезной нагрузки (payload). Прочитать это поле может и сервер и клиент. Сервер в любом случае должен контролировать срок жизни токена, клиент может это делать сам, а может просто реагировать на ответы сервера.

Каждый запрос к серверу сопровождается рабочим токеном. Если срок жизни рабочего токена истёк, то сервер возвращает сообщение о необходимости обновления токена.

Запрос на обновление сопровождается refresh-токеном.
Если refresh-токен в базе помечен как уже использованный, то инактивируются (удаляются из базы) все refresh-токены данного пользователя и возвращается сообщение о необходимости повторной авторизации.
Refresh-токен отмечается в базе как использованный .
Если срок действия refresh-токена истёк или такого refresh-токена нет в базе сервера, то возвращается сообщение о необходимости повторной авторизации.
Возвращается новая пара токенов.

Где и как хранить токены на клиенте - вопрос предпочтений. Можно не хранить вообще, тогда при перезагрузке страницы пользователю придётся авторизоваться заново. Можно сохранять только refresh-токен, выполняя запрос на обновление при запуске приложения / открытии страницы.

Comments

[MaxKozlov]

В данном случае, судя по api, refresh-token не используется, а для обновления используется еще не истекший рабочий. Соответственно, клиент должен перед истечением рабочего запрашивать его обновление.

[Rsa97]

MaxKozlov, Похоже на то. Тогда клиент должен следить за сроком жизни токена и заранее запрашивать обновление. Ну и на сервере надо хранить сам токен для контроля повторного запроса на обновление (признак перехвата токена).

[Cody45]

Правильно ли я понял, при загрузке приложения или обновлении страницы мы делаем запрос Refreshed JWT token, тем самым проверяя токен, и если он живой - все ок, а если нет - редирект на авторизацию. При обычных API запросах за ресурсами просто действуем по результату ответа сервера - если ок, то все хорошо, если нет - редирект на авторизацию.
Еще такой вопрос - текстовая строка, разделенная двумя точками, как я понимаю это jwt токен. А refresh-token это уже другая аналогичная строка или он является частью jwt токена(закодирован в этой строке)? Или он находится только на сервере и клиенту не передается?

[Rsa97]

Cody45, Вам, судя по заданию, надо сделать схему с одним токеном (без отдельного Refresh-токена). В таком случае при старте приложения необходимо проверить сохранённый токен и, если его срок истёк, то запустить полную авторизацию.
Кроме того, на клиенте стоит выставить таймер и запускать процедуру обновления токена за некоторое время до истечения его срока жизни.
Но тут всё зависит от реализации сервера. Например, сервер может разрешать обновление токена в течение определённого времени после истечения его срока действия (скажем, для запросов токен действителен 10 минут, для обновления - 30 минут).

Формат самого токена описан здесь: https://jwt.io

Если есть Refresh-токен, то это отдельный токен. Как правило, из полезной нагрузки в нём только идентификатор пользователя и срок жизни. В системах с большим количеством запросов в Refresh-токен добавляют случайное значение, чтобы исключить ситуацию одновременной выдачи одинаковых токенов двум приложениям одного пользователя.