Es seguro para exponer refreshtoken API

En Auth0, Creó un conjunto de características que contribuyan a mitigar los riesgos asociados con el uso de la actualización de fichas mediante la imposición de salvaguardias y controles en su ciclo de vida. Nuestra identidad es una plataforma que ofrece la actualización de token de rotación, que también viene con la reutilización automática de detección.

Por favor, lea el siguiente tema.

Actualización De Token De Rotación

Actualización De Token De La Reutilización Automática De Detección De

La JWT se firma con clave secreta compartida clave. Ya que la API de REST en el backend y apátridas, jwt se utiliza para la autorización y construcción del objeto principal

Como usted dice, el token de acceso representan autorización en su aplicación, si el token de actualización se expone a continuación, la actualización de token puede ser presentado por un mal actor para obtener un token de acceso que se pueden utilizar para la misma autorización.

El uso de una "clave secreta compartida' indica la JWT es una HMAC única variante de JWT, es decir, no hay cifrado, lo que podría indicar privada y la clave pública de par en oposición a una 'clave secreta compartida'. Así que la JWT es esencialmente una firma para el puposes de características de seguridad estamos garantizando la integridad de los que las demandas de los JWT están bien formados y que no se han cambiado desde que se firmó. También significa que se utiliza un mismo secreto para la firma en uno de los extremos como se utilizó para verificar en el otro extremo, el mismo secreto tiene que ser utilizado debido a que la verificación de una firma requiere que ambos extremos generar la firma y de la coincidencia de firma. Así que no hay datos se cifran, por lo que no los datos en la JWT es sensible y necesita ser protegido.

Dado este contexto, la actualización y el token de acceso son un simple JWT que sólo puede ser generado por el titular de la secreta - si son expuestos que puede ser utilizado para hacer malicioso solicitudes de siempre que siguen siendo válidos (nbf reclamación).

Esencialmente, este tipo de JWT pueden ser utilizadas si se expone a suplantar la identidad de los secretos que se firmó el JWT representa, sin saber en realidad el secreto de sí mismo, hasta el nbf demanda el token y un token de actualización es el mecanismo para ampliar la nbf reclamación sin tener el secreto (lo que resultaría en una nueva firma, debido a que el nbf la reclamación podría cambiar cuando se utiliza).

Hay una protección de acceso token de reutilización, es el nonce reclamación. Si actualmente usted no usar un nonce reclamo usted puede leer acerca de cómo OIDC han puesto en práctica y hacer él mismo en su aplicación. Pero como usted dice, su aplicación es apátrida, pero esperemos que el backend tiene una forma de estado para asegurar que no nonce la reutilización y evitar JWT firma de la reutilización. Para cada nonce la JWT los cambios de firma, por lo tanto, el token de acceso de los cambios y puede ser usado sólo 1 vez. Así que en caso de robo es una condición de carrera que se utiliza el símbolo (token) en primer lugar, que en gran medida se minimiza el riesgo, pero no es una solución perfecta.