Token low security issue #244
Comments
leocouderc
added
bug
|
to resolve this issues : edit logOut() |
|
le front envoie une requete au back lord du logout mais ne fait rien. Le front modifie le cookie pour suppprimer le token. A gérer dans /backend/controller/authentification.js |
|
@beber32 @leocouderc on fait quoi de cet issue? @leocouderc le truc interessant en revance serait de faire que le jeton soit rafraichit a chaque requette et on reset le temps à 30 minutes C'est faisable ca? |
|
Oui c'est faisable, y a plusieurs façons d'aborder le problème : https://gist.github.com/ziluvatar/a3feb505c4c0ec37059054537b38fc48 Une solution pourrait être de demander au back de renvoyer un token identique quand il expire mais avec une date d'exp différente. Faut juste voir comment implémenter dans le front (pour savoir quand il doit envoyer la requête de rafraichissement). Par contre la doc officielle du jwt déconseille fortement le rafraichissement car c'est souvent source de vulnérabilité. (on pourrait mettre la durée de vie à 1h ou plus et si la durée est dépassé, l'utilisateur dois juste ce reconnecté ?) |
|
interessant, c'est ou la doc qui déconseille le rafraichissement ? |
|
c'est sur le git de la librairie qu'on utilise : https://github.com/auth0/node-jsonwebtoken Refreshing JWTs We are not comfortable including this as part of the library, however, you can take a look at this example to show how this could be accomplished. Apart from that example there are an issue and a pull request to get more knowledge about this topic. |
When log out, token is destroy from client but is still valid.
Solution 1) create a blacklist
Solution 2) set a short time for the token and frequently refresh it
The text was updated successfully, but these errors were encountered: