私のJWT実装についての考え

そのため、私はJWTトークン化についてできるだけ多くのことを学ぼうと努力してきましたが、auth0は事実上のJWT情報ハブのようです。

しかし、リフレッシュトークンについて読むほど、私はうんざりします。「無限に」リフレッシュ可能（または少なくとも非常に長い有効期限）の考えは、私には受け入れられません。

だからここに実装することに決めました。

システムのアーキテクチャ：1. API（純粋なAPIレイヤー、現時点では認証サーバー）-トークンを作成して検証します2.アプリレイヤー（リクエストを処理するフラスコ）。

ユーザーがアプリにアクセスしようとすると、ログインページに送られます。詳細を入力すると、APIの/ authorizeエンドポイントに送信されます。

これらの詳細が検証され、次の内容を含むクレームを使用してトークンが作成されます。

認証サーバーとAPIに関する限り、このトークンは30分で有効期限が切れます。

アプリレイヤーで、各リクエストはトークンをチェックし、有効期限が切れる前に5分未満かどうかを確認します。

見つかった場合は、独自のJWTを作成します（APIが知っているのと同じ秘密で署名されています）。元のJWT（期限切れ間近）をペイロードオブジェクトとして使用し、それをauth/refresh_token上のエンドポイントに送信します

次に、/ refresh_tokenエンドポイントはトークンを検証し、ペイロードから元のトークンを抽出し、それを検証し、それが有効なトークン（まだ期限切れになっていない）かどうかを検証します。次に、最初に作成された時間をチェックし、最大タイムアウト（アプリのお客様が設定）に到達していないことを確認します。これは、システムのハード制限である12時間です（ただし、お客様は合計セッションを短くすることもできます）。これらのチェックに問題がなければ、新しいトークンが作成され、アプリレイヤーに送信されます。

このように、私の考えは次のとおりです。

• Authサーバーは、元々Authサーバーによって作成されたJWTを含む信頼されたJWTを受信する必要があるため、この更新要求を常に信頼できます。つまり、アプリレイヤー（またはシークレットを持つサーバー）によってのみ作成された可能性があります。

• Authサーバーは更新トークンを無制限に配布しません。

• 秘密が危険にさらされている場合-とにかくことわざになり、それが危険にさらされていることに気づくまで、あなたができることはほとんどありません-もちろん、信頼できるソースからのJWTへのリクエストを確実にするIPチェッカーがありますが、それでも-攻撃者が何をしているか知っていれば、IPスプーフィングは難しくありません。

• アプリレイヤーには、ユーザーセッションを強制終了することで更新の送信を停止する機能があるため、侵害されたJWTは最大30分間「危険」になります。

多くの人がセキュリティについて非常に精力的に取り組んでいますが、このアプローチは適切なチェックとバランスを提供すると思いますか？

そうでない場合は、アイデア、プロセスの改善などを聞きたいと思います。セキュリティは確かに私の強力なスーツではないので、すべての助けをいただければ幸いです！

乾杯。