Как защититься от того, что злоумышленник украдет refresh token?

Question

[Никита]

Refresh token храниться в http only cookie. Видел рекомендацию о хранении refresh token в бд и сравнивать его на эквивалентность с токеном, который храниться в cookie, но в таком случае что делать, если пользователь, будучи авторизованный на одном устройстве, залогиниться на другом?

Comments

[Никита]

Pardon Me! Where Do I Find 4giveness?, спасибо за ответ! Обычно же делают так, что как раз таки refresh token живет долго, разве нет?

[xmoonlight]

Никита,

залогиниться на другом

залогинится на другом

Answer 1

[xmoonlight]

Привязка refresh-токена к:
1. fingerprint (device id; +привязка к refresh-токену)
2. IP/Subnet (+привязка к refresh-токену)
3. Контроль поведенческого фактора

что делать, если пользователь, будучи авторизованный на одном устройстве, залогиниться на другом?

я уже отвечал тут и повторю:
Account->Device->Token и никак иначе!

И, как верно заметил Pardon Me! Where Do I Find 4giveness?, refresh token должен меняться несколько раз за пользовательскую сессию (активность) в полностью "прозрачном" (для пользователя) режиме.

Comments

[xmoonlight]

Falconer,

простым заставлением юзера зайти на определенный сайт

и как же он это сделает так, чтобы юзер этого не заметил?

[xmoonlight]

Falconer,

От имени друга или еще каким-либо образом.

без данных авторизации и валидного токена? Вот уж точно сказки!)

[xmoonlight]

Falconer, повторю вопрос: как он заманит юзера на свой сайт и чтобы тот сгенерил там нужный токен?

[xmoonlight]

Falconer,

Генерация этого deviceid подсматривается в нашем js коде и повторяется в точности на фишинговом сайте.

подсмотреть-то было бы и можно, если бы не пункт 2 в моём ответе)
А именно:

Account->Device->Token и никак иначе!

Генератор deviceID (сам код js) зависит от данных аутентификации, а они - неизвестны.
Поэтому верный js-код - никак не получить до тех пор, пока не будут известны логин/пароль учётки, и т.п.

А как происходит там авторизация - это уже ещё один вопрос: через сохранённый линк с хеш-тегом, или 2FA через SMS, или GAuth, или сертификаты, и т.д.

Answer 2

[SagePtr]

Смысл рефреш-токена в том, что если его украдут - то пользователь автоматом разлогинится при следующем рефреше и заметит этот факт. То есть, навредить злоумышленник может, но тайно вредить и оставаться незамеченным - нет.

Comments

[Никита]

Тогда же у нас повляется проблема, что, если пользователь попытается авторизоваться сразу на двух устройствах, то у него ничего не получится.

[Никита]

Pardon Me! Where Do I Find 4giveness?, как же я тогда ее наблюдаю? При логине генерируется пара токенов и перезаписывается значение refresh токена в бд. Клиент зашел через второе устройство, перезаписался refresh токен, а значит тот токен, который имеется у первого девайса, уже не валидный.

[Никита]

Pardon Me! Where Do I Find 4giveness?, очень интересно. Я прошу о помощи в реализации, а вы мне говорите о том, что у меня проблема в реализации.