• Jobs
  • About Us
  • professionals
    • Home
    • Jobs
    • Courses and challenges
  • business
    • Home
    • Post vacancy
    • Our process
    • Pricing
    • Assessments
    • Payroll
    • Blog
    • Sales
    • Salary Calculator

0

131
Views
Tokens de acceso y actualización de JWT

Uso tokens jwt en mi proyecto. Tokens de actualización de larga duración para autenticar y tokens de acceso de corta duración para recursos protegidos. El token de actualización se guarda en una cookie de solo http para reducir el riesgo de ataques xss. Los tokens de acceso solo se almacenarán en mi tienda vuex de mi interfaz. ¿Debo renovar mi token de actualización si el usuario cambia la contraseña? No almaceno tokens de actualización en mi base de datos, porque como entendí, el propósito principal de jwts es que puedo usar criptografía para verificar mi token de actualización entrante y no tengo que buscarlo en mi base de datos (entonces no lo hago tiene que usar jwts en absoluto).

Pero, ¿cómo invalido un token de actualización ya enviado, por ejemplo, en otro dispositivo o navegador? Si no uso una base de datos para almacenar tokens de actualización, el token sería válido siempre que se cumpla el tiempo de vencimiento. Agradezco cualquier consejo.

almost 3 years ago · Juan Pablo Isaza
2 answers
Answer question

0

Dado que no almacena tokens en la base de datos, no puede invalidarlos de forma remota. Pero hay algunas prácticas comunes para superar este problema.

NOTA: Estos no son estándares, solo una práctica utilizada por las principales empresas.

1. Almacenar tokens en la base de datos de caché (no en la base de datos principal)

Almacenar JWT tokens en la base de datos de caché, como Redis o Memcached , le permitirá recuperar y verificar el token mucho más rápido. Para invalidar el token, solo necesita eliminarlo del caché.

2. Use acceso de corta duración y token de actualización

Esto se menciona en muchos envíos de seguridad. El experto dice que establezca una vida muy corta (en minutos) tanto para acceder como para actualizar tokens. Además, intercambie el token de actualización cada vez que obtenga un nuevo token de acceso. Este proceso de renovación puede estar ocurriendo en segundo plano (tal vez usando trabajadores). Por lo tanto, no necesita invalidar los tokens, se invalidarán automáticamente después de unos minutos.

Te recomiendo ver esto: https://www.youtube.com/watch?v=rCkDE2me_qk

almost 3 years ago · Juan Pablo Isaza Report

0

  • Almacene sus tokens de actualización en una base de datos, con suficiente contexto para crear un nuevo token JWT (también fecha de caducidad, IP/regiones/navegadores permitidos, etc.). iniciar sesión, cerrar sesión, actualizar token de acceso).
  • El almacenamiento de JWT en una base de datos presenta un único punto de falla para sus microservicios (suponiendo que esté usando esta arquitectura), si está almacenando JWT en algún lugar, sería una implementación más simple usar ID de sesión y datos.
  • Asigne una identificación a cada token JWT (ya está en las notificaciones predeterminadas) y vincule esa identificación a un token de actualización.
  • cuando invalide un token de actualización, transmita un evento a todos sus servicios diciéndoles que cualquier JWT con el token.JwtId no es válido. esto invalida todos los JWT creados por ese token en todos los servicios (también puede invalidar por contexto de token, por ejemplo: ID de usuario para invalidar todos los tokens para un usuario que se creó antes de X)
almost 3 years ago · Juan Pablo Isaza Report
Answer question
Find remote jobs

Discover the new way to find a job!

Top jobs
Top job categories
Business
Post vacancy Pricing Our process Sales
Legal
Terms and conditions Privacy policy
© 2025 PeakU Inc. All Rights Reserved.

Andres GPT

Recommend me some offers
I have an error