Как привязать нужного пользователя к правильной сессии?

Question

[Jekson]

Помогите разобраться в работе сессий пользователя на основе JWT. Сейчас реализовал такой функционал:
при авторизации пользователя создается JWT который записывается в redis в таком виде

{
'session' : eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ0b3B0YWwuY29tIiwiZXhwIjoxNDI2NDIwODAwLCJodHRwOi8vdG9wdGFsLmNvbS9qd3RfY2xhaW1zL2lzX2FkbWluIjp0cnVlLCJjb21wYW55IjoiVG9wdGFsIiwiYXdlc29tZSI6dHJ1ZX0.yRQYnWzskCZUxPwaQupWkiUzKELZ49eM7oWxAQK_ZXw
}

В токене есть нужная инфа по юзеру - id, email, permission_type

теперь, как я понимаю каждый запрос где должна выполняться проверка на авторизацию должен проверять наличие у пользователя сессии либо редиректить на страницу log_in
Код у меня на питоне, но смысл я думаю понятен

async def get_current_user():
    try:
        session = await redis_cache.get('session')
        payload = jwt.decode(
            session,
            config('JWT_SECRET'),
            algorithms=config('JWT_ALGORITHM'),
        )
        return payload['user']
    except Exception as e:
        raise HTTPException(
            status_code=status.HTTP_403_FORBIDDEN, detail="Invalid authentication"
        )

Мой вопрос:
как сматчить пользователя с токеном в редисе, вот этот вот запрос
session = await redis_cache.get('session')
как понять какой ключ передавать в запросе get('session')
И какой ключ использовать при формировании записи токена в БД.
Т.е сейчас у меня хардкод для одного пользователя, есть ключ session в БД и его же я передаю в запросе . Но какая логика должна быть при большом кол-ве пользователей?

Answer 1

[Rsa97]

JWT используется в stateless-режимах. Основной токен на сервере не хранится вообще. Он подписан выдающим сервером и, если подпись верна, то рабочий сервер просто доверяет информации в токене.
Если клиент не прислал токен или прислал просроченный токен или подпись неверна, то в ответ сервер требует авторизацию. Если пришёл действительный токен, то сервер просто использует данные из токена.

Comments

[Jekson]

Е

сли клиент не прислал токен или прислал просроченный токен или подпись неверна

вот про это я и спрашиваю , как клиент "понимает" какой именно из токенов ему посылать для проверки
Все таки хранение JWT токена в редис довольно распространенная практика. И если исходить из того что именно такой способ выбран, какая логика взаимодействия пользователя и сессий ?

[Rsa97]

Jekson, А у клиента только один токен. Он его получает при аутентификации/авторизации на ресурсе и использует до истечения срока действия. Затем надо получить новый токен. Это можно сделать как через повторный ввод логина/пароля, так и через второй токен (refresh-токен), который действует дольше основного.
А сессии в stateless-системах вообще не используются.

[Jekson]

Rsa97,

А у клиента только один токен

Значит клиенту надо понимать какой именно токен в редисе именно его уникальный.
Если отойти от концепции JWT, и считать что токен - это всего лишь email или id пользователя, наличие которого говорит о том что юзер прошел авторизацию.

[javedimka]

Jekson, Чел, спокойнее, отдохни чуть-чуть.

[Rsa97]

Jekson, Зачем клиенту знать, какой из токенов его, если у клиента всего один токен?

[Jekson]

Rsa97, у клиента нет токена, токен в редисе на сервере, не в локал сторадже не в куках. Надо сделать запрос в редис и убедиться что если юзер залогинен то там есть нужный токен. При выходе из акка токен удаляется. Я пока пришел к отому что например в куки клиента добавлять id пользователя и по нему искать в редисе совпадение.
p.s. надо наверное абстрагироваться от JWT спецификации, лучше назвать это пользовательской сессией

[Jekson]

javedimka, да я абсолютно спокоен, просто разбираюсь в теме

[Rsa97]

Jekson, Значит вы в принципе не понимаете сути токена.
1. Клиент аутентифицируется на сервере.
2. Сервер генерирует токен, подписывает, выдаёт его клиенту.
3. Вместе с каждым следующим запросом клиент присылает этот токен серверу.
4. Сервер проверяет подпись и срок жизни токена.
5. Если токен невалидный, то возвращается ответ о необходимости повторной аутентификации.
6. Если токен валидный, то данные из токена (id пользователя, права, что-то ещё) используются при обработке запроса, возвращается ответ на запрос.
Серверу не надо хранить рабочий токен, он получает его в каждом запросе от клиента.

[Rsa97]

Jekson, Если вы хотите работать в statefull-режиме с сессиями, то всё по другому.
1. Если пришедший запрос не содержит куки с сессией, то сервер генерирует новую сессию, присваивает её какой-то id.
2. Если в запросе есть кука с id сессии, то сервер открывает эту сессию.
3. При аутентификации клиента в сессию добавляется id пользователя, права, что-то ещё.
4. Сервер использует данные сессии в запросе.
5. Получив данные из сессии и изменив то, что нужно, сервер сохраняет сессию.
6. После обработки запроса клиенту в ответе отсылается кука с id сессии.
Токен не нужен, поскольку всё на сервере и шифровать/подписывать данные не нужно. Сервер получает только id сессии.

[Jekson]

Rsa97, Похоже что последний коммент это как раз то о чем я спрашиваю .Да, я ввел в заблуждение наличием JWT по сути использовав его как механизм для шифрования данных сессий , что не совсем корректно. Т.е в итоге мне надо положить id сессии в куку и во время запроса использовать его в качестве ключа для поиска совпадения в редисе?

[Rsa97]

Jekson, Да. Не знаю, как именно это выглядит в редисе, но должна получится примерно такая структура:

{
  "session_id": "df09fksd0293r00w",
  "session_data": {
    "user_id": 123,
    "rights": "admin",
    "theme": "dark",
    "timezone": "Europe/Moscow"
  }
  "expiration": "2021-05-01 13:05:00"
}

При каждом запросе клиента читаете данные, обновляете срок жизни сессии, если что-то менялось в данных, то перезаписываете их.
Не забывайте при блокировки, чтобы не возникло состояние гонки.
https://habr.com/ru/post/318836/

[Jekson]

Rsa97, Алилуйя! спасибо за помощь, теперь все стало понятно