Проверка JWT авторизации vuejs?

Question

[Troodi Larson]

Добрый вечер. Не совсем ясна суть проверки JWT авторизации в роуте. По сути надо проверить не равен ли токен null. Но в локальное хранилище можно записать самому (юзеру) что-то через консоль. В связи с этим вопрос: хватит ли такой проверки на авторизацию? Все подгружаемые данные ещё раз проверяются на авторизацию на бэке. И попутный вопрос хватит ли авторизации без refresh токена?

Answer 1

[coderisimo]

И попутный вопрос хватит ли авторизации без refresh токена?

.
Этот токен не просто так используется.

1) Вы не заставляете пользователя логиниться каждый раз, когда истечет срок действия основного токена. Токен обновляется без участия пользователя с помощью рефреш токена.
2) Если у вас сперли токены - ваш рефреш токен становится неактуальным , сайт требует чтобы вы прошли аутентикацию с логином и паролем. После успешного прохождения данной процедуры вам выдается новая пара токен и рефреш токен. Соответственно, похищенный у вас ранее рефреш токен превращается в тыкву. Так что когда обычный токен у злоумышленника протухнет , он не сможет получить новый.

Comments

[HALF-LIFEsh]

После успешного прохождения данной процедуры вам выдается новая пара токен и рефреш токен. Соответственно, похищенный у вас ранее рефреш токен превращается в тыкву.

Рефреш токен превратиться в тыкву, только если превратить его в тыкву, а такое реализовывать стоит только ну в очень специфичных случаях, поскольку пользователь не сможет работать с системой одновременно с нескольких устройств.

[coderisimo]

в противном случае, завладев "рефрешем" ты становишься полноценным юзером, даже на зная логина-пароля. Думаю , в случае если у нас stateless - залогиниться если оказался на другом устройстве меньшее из зол. Или нет?

[HALF-LIFEsh]

coderisimo, для того, чтобы стать полноценным пользователем системы нужно знать не только рефреш токен, но и client id и client secret, ведь для такого чтобы обновить токен нужны именно эти данные.

Answer 2

[Владимир Коротенко]

Не стоит для токенов использовать localstorage, в этой статье развернуто почему.
https://habr.com/ru/post/349164/

Насчет рефрештокена, смотрите сами, если вы храните только id пользователя, то jwt получается небольшой, можно его и так гонять по сети.

Answer 3

[Roman Alekseiev]

1. Хватит и простого JWT, шифруешь уникальный идентификатор юзера и отдаешь его на клиент, там записываешь в localStorage и потом просто добавляешь в запросы.

2. Владимир Коротенко , судя по комментариям к статье автор не совсем уж и прав. Использовать localStorage не так уж и плохо

Comments

[Владимир Коротенко]

При соблюдении кучи условий, в случае куки этих допущений меньше.
Прочтите полностью комментарии, там много всего.