Как обновить access token используя JSON Web Token и Passport JWT?

Question

[Alexey]

Генерирую токен:

// jsonwebtoken package - creating token and answer on him
        var token = jwt.sign(payload, jwtOptions.secretOrKey, { expiresIn: '10m' });
        res.json({token: 'Bearer ' + token});

По прошествии 10 минут, пользователь будет 'unauthorized'.

Вопросы:
Как и где получить refresh token?
Каким образом будет выглядеть раут в express для получения refresh token и генерации нового access token?

P.S. Правда ли что JWT не используют в продакшене? Как корректно авторизировать пользователя по JWT в express?

Answer 1

[RidgeA]

Как и где получить refresh token?

Вместе с access-token

Каким образом будет выглядеть раут в express для получения refresh token и генерации нового access token?

как вариант:

получить refresh_token из тела запроса
если refresh_token в есть базе и он не просрочен 
  то
    сгенерировать новую пару acces_token и refresh_token
    сохранить refresh_token в базе данных
  иначе
    вернуть ошибку что refresh_token недействительный

Правда ли что JWT не используют в продакшене?

нет

Comments

[Alexey]

Вместе с access-token

А как он генерируется? И для кого? Если для всех, то зачем он тогда нужен?

var accessToken = jwt.sign(payload, jwtOptions.secretOrKey, { expiresIn: '10m' });
var refreshToken = jwt.sign(payload, jwtOptions.secretOrKey, { expiresIn: '10m' });

[RidgeA]

access_token нужен для проверки права пользователя получить доступ к ресурсу.
refresh_token нужен только для выпуска нового access_token, вместо уже просроченного

Обычно срок жизни access_token короткий - в минутах, тогда как refresh_token - может жить существенно дольше

refresh_token не обязательно JWT - может быть любая, достаточно уникальная последовательность символов, например uuid. Хранить в нем информацию не всегда надо, т.к. для проверки этого токена все-равно надо в базу идти.

в качестве справки можете почитать как это реализовано в https://oauth.net/2/

[RidgeA]

вот тут на русском https://www.digitalocean.com/community/tutorials/o... не знаю, только на сколько полно

[Alexey]

Спасибо большое. Подскажите а вот такой подход имеет право на существование в продакшене?

[RidgeA]

Alexey, если я правильно понял предлагается делать обновление токена на основании уже существующего, просроченного access_token.
Такой подход будет работать, но я бы так не делал, т.к. access_token может быть украден и использоваться злоумышленником для постоянного получения нового токена.
В варианте с OAuth2 - каждое обновление токена генерирует новую пару access и refresh токенов, что уменьшает количество времени, на протяжении которого злоумышленник может пользоваться украденым токеном.