LINUX.ORG.RU

История изменений

Исправление theNamelessOne, (текущая версия) :

Стоит заметить, что процесс добавления сессии в таблицу должен имеет свои меры безопасности. При добавлении стоит проверять сколько рефреш-сессий всего есть у юзера и, если их слишком много или юзер конектится одновременно из нескольких подсетей, стоит предпринять меры. Имплементируя данную проверку, я проверяю только что бы юзер имел максимум до 5 одновременных рефреш-сессий максимум, и при попытке установить следующую удаляю предыдущие. Все остальные проверки на ваше усмотрение в зависимости от задачи.

Таким образом если юзер залогинился на пяти устройствах, рефреш токены будут постоянно обновляться и все счастливы. Но если с аккаунтом юзера начнут производить подозрительные действия(попытаются залогинится более чем на 5’ти устройствах) система сбросит все сессии(рефреш токены) кроме последней.

Т.е. если злоумышленник начнёт ломать юзера многочисленными попытками логина, то свежие сессии, которые создаст злоумышленник, вытеснят валидные сессии юзера? Отлично!

Мне ещё раздел «Зачем все это ? JWT vs Cookie sessions» очень понравился, аргументы огонь. А я посоветую почитать вот эту или эту статью, там описана противоположная точка зрения.

Исходная версия theNamelessOne, :

Стоит заметить, что процесс добавления сессии в таблицу должен имеет свои меры безопасности. При добавлении стоит проверять сколько рефреш-сессий всего есть у юзера и, если их слишком много или юзер конектится одновременно из нескольких подсетей, стоит предпринять меры. Имплементируя данную проверку, я проверяю только что бы юзер имел максимум до 5 одновременных рефреш-сессий максимум, и при попытке установить следующую удаляю предыдущие. Все остальные проверки на ваше усмотрение в зависимости от задачи.

Таким образом если юзер залогинился на пяти устройствах, рефреш токены будут постоянно обновляться и все счастливы. Но если с аккаунтом юзера начнут производить подозрительные действия(попытаются залогинится более чем на 5’ти устройствах) система сбросит все сессии(рефреш токены) кроме последней.

Т.е. если злоумышленник начнёт ломать юзера многочисленными попытками логина, то свежие сессии, которые создаст злоумышленник, вытеснят валидные сессии юзера? Отлично!

Мне ещё раздел «Зачем все это ? JWT vs Cookie sessions» очень понравился, аргументы огонь. А я посоветую почитать вот эту или эту статью, там описан противоположный взгляд.