Можно ли сделать аутентификацию приложения на сессиях?

Question

[Shurik]

Имеется серверная часть приложения с аутентификацией реализованной на сессиях. Решил к нему дописать клиента на React Native. Начав изучать вопрос понял, что аутентифицировать на андроиде (и возможно на ios) не самый подходящий способ.
Хотелось бы узнать мнение экспертов возможно ли это как то сделать. Видел некоторые библиотеки для реакт нэйтив для кук, но не совсем понятно для чего они - нет хорошего описания к ним. Или все же надо переделывать аутентификацию на сервере на JWT?

Answer 1

[Dmitry Bay]

Или все же надо переделывать аутентификацию на сервере на JWT?

Да

Comments

[Shurik]

Спасибо за ответ, но вчера провел эксперимент. Почитайте пожалуйста в ответе ниже - интересно ваше мнение!

Answer 2

[Shurik]

Провел эксперимент с сессией. В React Native сделал экран с формой для входа и кнопкой логина. По кнопке идет запрос к api для аутунтификации по логину паролю. Так же на этом экране есть кнопка для запроса к api, в ответе которого есть роль пользователя. Так вот после логина по нажатию на вторую кнопку api отдает именно ту роль, под которой логинился, причем проверял помимо андорид студио на реальном устройстве спустя часов 12 и даже после перезагрузки.
Хочу отметить, что даже не пришлось сохранять сессию с ответа от аутентификации и вручную отправлять при новом запросе к другому защищенному api - все работает как в браузере.
Такое поведение в эксперименте идет в разрез с тем, о чем я читал ранее. Может добавили некую поддержку, наподобие куков - не силен в среде андроид?! (да и проверял только на андроиде. На ios не знаю будет ли также)

Comments

[shurshur]

Не надо делать "потому что все делают". На самом деле, далеко не всегда нужно городить jwt. Тем более что без понимания причин выбора jwt и правильных практик использования с учётом реальных сценариев угроз можно сделать ещё хуже, ещё ненадёжнее, ещё нестабильнее, чем более простые и кондовые решения.

Надо не просто гоняться за модой, а понять, почему jwt так популярно, какие задачи решает, какие сценарии угроз предотвращает (а может не предотвращаеь, но уменьшает риск), какие удобства предлагает, итд итп. И тогда, вполне возможно, даже вопросов не останется и именно jwt и будет выбрано как итоговое решение. А может и не будет.

[Shurik]

shurshur, дело в том, что в моем случае на сессиях делалось мною тогда, когда еще не знал о JWT. Суть моего вопроса не выборе метода аутентификации, а как сделать именно с уже имеющейся. О плюсах и минусах той и другой я знаю (возможно не всех, но тем не менее).
Просите, не совсем понял вашего комментария. Вы о том, что JWT - это мейнстрим и независимо, что сработали сессии, советуете сервер переделать на JWT? Так?

[shurshur]

Shurik, нет, основная суть моего комментария именно в том, что надо выбирать не потому что мейнстрим, а потому что оно решает какие-то задачи каким-то образом после осознанного выбора этого самого решения разработчиком плюс затраты на имплементацию. Если уже что-то есть - то его не надо во что бы то ни стало сразу переписывать с нуля (это же ещё и ни фига не просто может оказаться).

Эта погоня за модными технологиями редко приводит к чему-то хорошему. А то начинают - то монга у них в качестве базы, то хадуп наворачивают, то в кубере всё надо запускать, то простую программу начинают на микросервисы распиливать...

JWT хорошо тем, что не нужно хранить в базе инфу о выданных токенах и в микросервисной архитектуре не нужно всем сервисам иметь доступ к этой критической информации. Проверка токена - это проверка его криптографической подписи и срока действия в нём. Если злоумышленники смогут считать базу в классическом приложении, где аутентификационные данные (токены, id сессий итд) лежат прямо в базе, то они смогут выполнять запросы от имени любых пользователей. А с JWT даже слив базы (неприятно, конечно) не приведёт к получению работающих токенов.

В принципе, можно самому реализовать те же идеи или их вариации без прямого повторения JWT. Ну для начала хотя бы не хранить идентификаторы сессий в базе, а шифровать их.

В мобильной разработке не разбираюсь, в реакте тем более, что там может быть уже наверчено не могу сказать.

[Shurik]

shurshur, спасибо за ответ. Теперь ваш комментарий стал понятен и кое что для себя из вашей точки зрения я почерпнул))