C# Refresh token nasıl tutulmalı?

delikarga

delikarga

Kilopat
Katılım
30 Temmuz 2019
Mesajlar
1.962
Çözümler
27
Merhabalar. Geliştirdiğim bir projede jwt token expire oldu mu tekrar giriş yapılmasına gerek kalmadan token refresh yapmak için refresh token üreteceğim ancak internette çok fazla bilgi kirliliği var ve işin içinden çıkamadım. Bazıları refresh token'ı rastgele bir sayı oluşturup base 64 string olarak expire süresiyle birlikte user tablosunda tutuyor. Bazıları ise refresh token'ın başka bir jwt token olarak gönderilmesi gerektiğini söylüyor. Sizce hangisi doğrudur?

@RaSGooL @Eray T
 
delikarga dedi:
Merhabalar. Geliştirdiğim bir projede jwt token expire oldu mu tekrar giriş yapılmasına gerek kalmadan token refresh yapmak için refresh token üreteceğim ancak internette çok fazla bilgi kirliliği var ve işin içinden çıkamadım. Bazıları refresh token'ı rastgele bir sayı oluşturup base 64 string olarak expire süresiyle birlikte user tablosunda tutuyor. Bazıları ise refresh token'ın başka bir jwt token olarak gönderilmesi gerektiğini söylüyor. Sizce hangisi doğrudur?

@RaSGooL @Eray T
Genişletmek için tıkla...
Ben 2. senaryoyu kullanıyorum. Kullanıcı giriş yaptığında token ve refreshToken gönderiyorum.
Normal isteklerde refreshToken gönderilmez. Sadece jwt gönderilir. Eğer istekde 401 gelirse ve elimde refreshToken varsa /refreshToken endpointe tekrar istek atıyorum. Refresh token doğru ise bilgilere uygun yeni jwt oluşturuluyor ve gönderiliyor.

Her iki mantıkta benzer yapıda. Birinde extra db den kontrol yapıyorsun.
 
RaSGooL dedi:
Ben 2. senaryoyu kullanıyorum. Kullanıcı giriş yaptığında token ve refreshToken gönderiyorum.
Normal isteklerde refreshToken gönderilmez. Sadece jwt gönderilir. Eğer istekde 401 gelirse ve elimde refreshToken varsa /refreshToken endpointe tekrar istek atıyorum. Refresh token doğru ise bilgilere uygun yeni jwt oluşturuluyor ve gönderiliyor.

Her iki mantıkta benzer yapıda. Birinde extra db den kontrol yapıyorsun.
Genişletmek için tıkla...
Orayı anladım zaten, her istekte sadece jwt gönderiyor ama 401 gelirse refresh api adersine hem jwt hem de refresh tokenı göndericek. Serverda kontrol edicek refresh token doğruysa yeni jwt ve refresh token göndericek. Ama şu refresh tokenı dbye kaydetsem ne kadar güvenli oluyor bilemedim. JWT olarak göndersem mantıksız geliyor bana çünkü payload kısmına ne yazcam yani yine kullanıcı claimlerini mi yazıcam.

@RaSGooL hocam direkt içine aynı claimleri koyup sadece süresi daha uzun olan bir claim oluşturup refresh token olarak yolladım mantıklı mı? Elde edilen tokenlara bakınca header ve signature kısımları aynı sadece payload kısmının farklı görünüyor (base64 stringde)
 
Son düzenleme:
delikarga dedi:
Orayı anladım zaten, her istekte sadece jwt gönderiyor ama 401 gelirse refresh api adersine hem jwt hem de refresh tokenı göndericek. Serverda kontrol edicek refresh token doğruysa yeni jwt ve refresh token göndericek. Ama şu refresh tokenı dbye kaydetsem ne kadar güvenli oluyor bilemedim. JWT olarak göndersem mantıksız geliyor bana çünkü payload kısmına ne yazcam yani yine kullanıcı claimlerini mi yazıcam.

@RaSGooL hocam direkt içine aynı claimleri koyup sadece süresi daha uzun olan bir claim oluşturup refresh token olarak yolladım mantıklı mı? Elde edilen tokenlara bakınca header ve signature kısımları aynı sadece payload kısmının farklı görünüyor (base64 stringde)
Genişletmek için tıkla...
Keyleri aynı ise refreshToken normal token yerine geçer. Güvenliği kalmaz ki o zaman. Claim aynı kalabilir ama key kesinlikle farklı olsun bence. Hatta jwt ve refresh token beraber oluşuyorsa her ikisine ortak key claim atanabilir. Hatta bu key istekten gelen user-agenttan bile alınabilir. Daha sonra ikisi içerisinden claim keyleri kontrol edilebilir. Bu sayede refreshToken sadece bir kez kullanılır. Bunu yapmamıştım, şimdi aklıma geldi. Mantıksız olabilir bilmiyorum.

delikarga dedi:
Ama şu refresh tokenı dbye kaydetsem ne kadar güvenli oluyor bilemedim. JWT olarak göndersem mantıksız geliyor bana çünkü payload kısmına ne yazcam yani yine kullanıcı claimlerini mi yazıcam.
Genişletmek için tıkla...
Haklısın. Bana da buralar bir tık garip geliyor. Db de de tutabilirsin ama işte farklı cihaz muhabbetleri ne olacak? Bunun için sırf Session gibi tablo mu oluşturmak lazım? Yani 2 farklı tarayıcıdan login olunca refreshToken nerede tutulacak? Mantıken refreshToken o cihaz için olması lazım. Tam bende bilmiyorum açıkçası.
 
RaSGooL dedi:
Keyleri aynı ise refreshToken normal token yerine geçer. Güvenliği kalmaz ki o zaman. Claim aynı kalabilir ama key kesinlikle farklı olsun bence. Hatta jwt ve refresh token beraber oluşuyorsa her ikisine ortak key claim atanabilir. Hatta bu key istekten gelen user-agenttan bile alınabilir. Daha sonra ikisi içerisinden claim keyleri kontrol edilebilir. Bu sayede refreshToken sadece bir kez kullanılır. Bunu yapmamıştım, şimdi aklıma geldi. Mantıksız olabilir bilmiyorum.


Haklısın. Bana da buralar bir tık garip geliyor. Db de de tutabilirsin ama işte farklı cihaz muhabbetleri ne olacak? Bunun için sırf Session gibi tablo mu oluşturmak lazım? Yani 2 farklı tarayıcıdan login olunca refreshToken nerede tutulacak? Mantıken refreshToken o cihaz için olması lazım. Tam bende bilmiyorum açıkçası.
Genişletmek için tıkla...
Doğru söylüyosun yerini tutma ihtimali de var. Refresh tokenın secret keyini farklı ayarladım şimdi. Bu sayede eğer refresh token gönderirse imzasından dolayı geçersiz yanıtı alıcak.
 
Son düzenleme:

Benzer konular

K
Spring Boot OAUTH2 JWT Access ve Refresh token üretmek
Mesaj
5
Görüntüleme
962
Börtü Böcük
Börtü Böcük
YakupAziz
  • Soru
JavaScript Unexpected token "}" Hatası
Mesaj
4
Görüntüleme
779
KenIQ
KenIQ
uykuda
C# ngrok token kontrol nasıl yapılır?
Mesaj
0
Görüntüleme
242
uykuda
uykuda
fukuli053
Syntax error on token “furkan”, Identifier expected after this token hatası
Mesaj
1
Görüntüleme
3B
fukuli053
fukuli053
UcanMuz
  • Soru
Çözüldü  Discord unexpected token hatası
Mesaj
0
Görüntüleme
895
UcanMuz
UcanMuz

Yeni konular

Yeni mesajlar

Geri
Yukarı