Когда вы обновляете свой OAuth токен?

Question

[Максим Тарабрин]

Работаю с OAuth в проекте. На бекенде Django, на фронтенде Angular 4 SPA. Как и когда вы обновляете токен в своем приложении? Когда пользователь авторизуется, то ему отдается некий объект со всем необходимым:

{
  "access_token": "gl4Ja6NWZOAZBphW2Hnfp79WV65eKv",
  "expires_in": 36000,
  "token_type": "Bearer",
  "scope": "read write groups",
  "refresh_token": "g9LnktosHBnA1HfVHBjrshlefMoXW2"
}

В голове только одна мысль, при авторизации класть куда нибудь в публичную переменную дату истечения токена и где то в конструкторах сделать проверку на эту переменную. Если дата > даты в переменной, то обновляем. Что подскажете, господа разработчики?

Answer 1

[Антон Иванов]

При каждом запросе с фронта на бэк, бэк обязан проверят токен. Если токен неверный или просрочен, бэк выдаёт новый токен. Хранить время жизни токена на фронте не нужно. Фронт, по сути, ничего, кроме адреса бэка знать ничего не должен.

Comments

[Максим Тарабрин]

У меня в AuthGuarde была такая проверка, где я делал запрос к серверу и проверял не просрочился ли токен. Но с этим возникла проблема. Когда делаешь F5, то при загрузке страницы возникала задержка, примерно в минуту. Задержка происходила из-за запроса к серверу в AuthGuard'e. Запрос на проверку токена уходил в статус Pending и пока ответа не вернется контента на странице не будет. Мб подскажешь в чем проблема.

А есть где почитать кусочки кода, чтобы понять как жизнь устроена с обновлением токенов?

[Абдулла Мурсалов]

хороший бекенд, никто не уйдет без токена. рефреш с каждым запросом гонять?

[Максим Тарабрин]

Абдулла Мурсалов, нет. Просто использовал данный пакет для работы с JWT в Django Rest Framework'e. А там из коробки refresh_jwt_token не работал, не разобрался в чем дело. В settings всё было прописано как в туториале написано.

'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=300),
'JWT_ALLOW_REFRESH': True,
'JWT_REFRESH_EXPIRATION_DELTA': datetime.timedelta(days=7),

Но как только токен умирал и я обращался для рефреша, мне говорили, что токен уже истёк и нет возможности его обновить. Поэтому я отказался от этого пакета и пришёл к OAuth.

Токен был один, который выдали при аутентификации. Refresh токена и не было.

Answer 2

[Абдулла Мурсалов]

Можно в случае неудачного запроса обновлять токен. А еще можно привести время истечения токена к абсолютному значению, хранить его в localstorage, auth serivce будет создавать TimerObservable, который по истечению времени запросит рефреш токена.

Comments

[Максим Тарабрин]

С TimerObservable интересно, но если пользователь авторизовался, а затем покинул страницу, то как отслеживание будет происходить?

А в случае неудачного запроса, как переполучать данные? Ну то есть, объясню сейчас. У меня есть к примеру компонент некий, который делает например 3 запроса к базе для получения данных:

this.statService.getStatOfTopics().subscribe(
      result => {
        this.statOfTopicsData = result;
      }
    );
    this.statService.getStatOfEmployes().subscribe(
      result => {
        this.statOfEmployesData = result;
      }
    );
    this.statService.getPointOfChart(7).subscribe(
      result => {
        this.lineChartData[0].data = result.data;
        this.lineChartLabels = result.labels;
      }
    );

В сервисе в catch я ловлю ошибку. Окей выясняю, что токену пришёл конец, обновляю его. А дальше вновь вызываю из сервиса ещё раз тот же метод получения данных? Так это ведь всё умрёт.

[Абдулла Мурсалов]

Максим Тарабрин, токен и время хранятся в localstorage