JWT Token Kullananlara Sorum Var

Question

Merhaba, projede JWT Token yapılandırması ekledim UI tarafına access token ve refresh tokenı döndüm ve interceptor olarak login register gibi işlemler dışında her istekte dönen tokenın süresine bakıp eğer süre dolmuşsa apiye refresh tokenı yollayarak onunda süresi dolmadıysa yeni token üretip UI tarafına dönüyorum. Refresh token süresi de doldusya login sayfasına atıyorum. Merak ettiğim konu dbde refresh token şifrelenmiş olarak kayıtlı JWT token ve refresh tokenı storageda saklarken şifrelenmiş mi kayıt etmeliyim? API ye istek atarkende önce şifreyi çözüp mü istek atmalıyım? Diğer türlü birinin token ve refresh tokenını kopyalarlarsa bunlarla istediği gibi istek atamazlar mı? Burada özellikle dikkat edilmesi gereken konu nedir?

erbasaran · Answer

Refresh token db de tutuluyorsa sifreli kalmali, client tarafta acik olarak saklanabilir. Token refresh ederken bu tokeni alan ip halen ayni ise refresh yapabilsin, degilse yapamasin diye kural koyabilirsiniz. Zaten gecerlilik vb kontrolleri yapiyorsunuz. Tokenlqrin suresi de cok uzun degilse sorun yasanmaz. Client tarafta sifreleyip cozmenin bir avantaji yoktur.

digitalDev · Answer

erbasaran adlı üyeden alıntı:						mesajı görüntüle									Refresh token db de tutuluyorsa sifreli kalmali, client tarafta acik olarak saklanabilir. Token refresh ederken bu tokeni alan ip halen ayni ise refresh yapabilsin, degilse yapamasin diye kural koyabilirsiniz. Zaten gecerlilik vb kontrolleri yapiyorsunuz. Tokenlqrin suresi de cok uzun degilse sorun yasanmaz. Client tarafta sifreleyip cozmenin bir avantaji yoktur. 		süresi var evet ama tokenle refresh tokenı alan birisi ip kontrolü yapmadıkca refresh token ile token yenileme apisine istek atarsa yenileme tokeninin süresi bitmedikçe istediği kadar token alamaz mı? Ben UI da interceptorda refresh token kontrolü yapıyorum ama apide refresh token farklı platformlardan istek atmaya çalışırsa bunu nasıl engellerim

erbasaran · Answer

Cors policy uygulayabilir, request header kismina birkac deger ekleyip api tarafinda dogrulamasini yapabilirsiniz.

digitalDev · Answer

erbasaran adlı üyeden alıntı:						mesajı görüntüle									Cors policy uygulayabilir, request header kismina birkac deger ekleyip api tarafinda dogrulamasini yapabilirsiniz. 		Evet, ben mi çok detaya indim acaba? Benim tereddütüm hesap bir yerde açık unutulursa vs diyeydi. Bu durumda banane mi demeliyiz acaba   Headerdan device ıd alıp refresh tokenle beraber kayıt etmeyi düşünüyorum. Tekrar login olurken device ıd farklıysa hesabınız şu ıdli cihazda açık sonlandırmak ister misiniz gibi bir seçenek ekleyeceğim.

ibrahimorginall · Answer

digitalDev adlı üyeden alıntı: mesajı görüntüle

süresi var evet ama tokenle refresh tokenı alan birisi ip kontrolü yapmadıkca refresh token ile token yenileme apisine istek atarsa yenileme tokeninin süresi bitmedikçe istediği kadar token alamaz mı? Ben UI da interceptorda refresh token kontrolü yapıyorum ama apide refresh token farklı platformlardan istek atmaya çalışırsa bunu nasıl engellerim

Middleware, rate limiting kullan. Ama bu ikisi de iṣe yaramıyor. Diyelim ki, api adresine saldırganlar dakikada milyonlarca istek atıyor. (çoğu hatalı istek) ama bu hatalı istekler; sunucunu ṣiṣirir.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Baṣkasından gelen saldırgan request isteklerini engellersin.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Ba&#7779;kasından gelen saldırgan request isteklerini engellersin.

berkantipek · Answer

ibrahimorginall adlı üyeden alıntı: mesajı görüntüle

Middleware, rate limiting kullan. Ama bu ikisi de iṣe yaramıyor. Diyelim ki, api adresine saldırganlar dakikada milyonlarca istek atıyor. (çoğu hatalı istek) ama bu hatalı istekler; sunucunu ṣiṣirir.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Baṣkasından gelen saldırgan request isteklerini engellersin.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Ba&#7779;kasından gelen saldırgan request isteklerini engellersin. 		Mevzu o değil, authN/authZ işini bir API gateway'e de bırakabilir. Kaç yıldır greenfield ve brownfield projelerde çalışıyorum, ne zaman iş authN/Z'ye el atmaya gelse JWT varsa bu tasarım kararını kim verdiyse arkasından güzel bir sövüyorum. Abi şunu anlamak zor değil, JWT denen nane partiler arası veri paslamıyorsanız (SSO vs sosyal medya login'i durumlarında vs.) Web authentication için kullanılmıyor. Auth0, Okta bile yapmıyor bu saçmalığı, ama ne hikmetse bir JWT manyası var geliştiricilerde. Adamlar 25-30 yıl önce bu sorunu çözmüşler zaten cookie ile.

https://www.google.com/search?q=don%...combinator.com

digitalDev · Answer

berkantipek adlı üyeden alıntı: mesajı görüntüle

Mevzu o değil, authN/authZ işini bir API gateway'e de bırakabilir. Kaç yıldır greenfield ve brownfield projelerde çalışıyorum, ne zaman iş authN/Z'ye el atmaya gelse JWT varsa bu tasarım kararını kim verdiyse arkasından güzel bir sövüyorum. Abi şunu anlamak zor değil, JWT denen nane partiler arası veri paslamıyorsanız Web authentication için kullanılmıyor. Auth0, Okta bile yapmıyor bu saçmalığı, ama ne hikmetse bir JWT manyası var geliştiricilerde. Adamlar 25-30 yıl önce bu sorunu çözmüşler zaten cookie ile.

https://www.google.com/search?q=don%...combinator.com

https://www.google.com/search?q=don%...combinator.com 								ibrahimorginall adlı üyeden alıntı:						mesajı görüntüle									Middleware, rate limiting kullan. Ama bu ikisi de i&#7779;e yaramıyor. Diyelim ki, api adresine saldırganlar dakikada milyonlarca istek atıyor. (çoğu hatalı istek) ama bu hatalı istekler; sunucunu &#7779;i&#7779;irir.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Ba&#7779;kasından gelen saldırgan request isteklerini engellersin. 		işin içine girince jwt mantığı büyük platformlarda en azından bir sosyal platformda çokta güvenli değil sanırım network kısmına apiye erişmiş biri kullanıcın access token ve refresh tokenını ele geçirdiyse kullanıcı fark edene kadar rate limiting yoksa sistemi kullanıcı adına kullanabiliyor bunu engellemenin ip ve cihaz dışında bir yöntemi yok sanırım

berkantipek · Answer

digitalDev adlı üyeden alıntı: mesajı görüntüle

işin içine girince jwt mantığı büyük platformlarda en azından bir sosyal platformda çokta güvenli değil sanırım network kısmına apiye erişmiş biri kullanıcın access token ve refresh tokenını ele geçirdiyse kullanıcı fark edene kadar rate limiting yoksa sistemi kullanıcı adına kullanabiliyor bunu engellemenin ip ve cihaz dışında bir yöntemi yok sanırım

Bu sorun JWT'a özel bir şey değil, cookie'lerle session oluşturduğunda da aynı olası problemi adreslemen gerekiyor zaten. Bunu bazı uygulamalar IP tabanlı validasyonla proaktif şekilde önlemeye çalışıyor, diğerleri de kullanıcı istemediği takdirde (beni hatırla vs.) oturum süresini olabildiğince kısa tutmaya çalışıyor. Cookie'lerde tarayıcı kapanınca ilgili cookie'yi silme mevzusu da var, o da bir seçenek olabiliyor. Diğer türlü o oturumun korunmasında kullanıcının da eşit sorumluluğu var. Makinene trojan girip bütün tarayıcı verini çalarsa ne yapabilirsin ki? Ek olarak, JWT kullanıyorsan sitende XSS açığı oluşursa bütün tokenleri yürütürler haberin olsun. O yüzden CSP ayarlarını da iyi yap. Bunu mesela cookie kullanıyorsan eğer HttpOnly deyip çözebiliyorsun, düşünmene gerek kalmıyor.

Sana tavsiyem first party auth yapıyorsan, cookie ve opak tokenlerden faydalan. JWT'ın sana bir faydası yok işleri karıştırmaktan başka.

https://zitadel.com/blog/jwt-vs-opaque-tokens

Sana tavsiyem first party auth yapıyorsan, cookie ve opak tokenlerden faydalan. JWT'ın sana bir faydası yok işleri karıştırmaktan başka.

https://zitadel.com/blog/jwt-vs-opaque-tokens

digitalDev · Answer

berkantipek adlı üyeden alıntı: mesajı görüntüle

Mevzu o değil, authN/authZ işini bir API gateway'e de bırakabilir. Kaç yıldır greenfield ve brownfield projelerde çalışıyorum, ne zaman iş authN/Z'ye el atmaya gelse JWT varsa bu tasarım kararını kim verdiyse arkasından güzel bir sövüyorum. Abi şunu anlamak zor değil, JWT denen nane partiler arası veri paslamıyorsanız Web authentication için kullanılmıyor. Auth0, Okta bile yapmıyor bu saçmalığı, ama ne hikmetse bir JWT manyası var geliştiricilerde. Adamlar 25-30 yıl önce bu sorunu çözmüşler zaten cookie ile.

https://www.google.com/search?q=don%...combinator.com

https://www.google.com/search?q=don%...combinator.com 								ibrahimorginall adlı üyeden alıntı:						mesajı görüntüle									Middleware, rate limiting kullan. Ama bu ikisi de i&#7779;e yaramıyor. Diyelim ki, api adresine saldırganlar dakikada milyonlarca istek atıyor. (çoğu hatalı istek) ama bu hatalı istekler; sunucunu &#7779;i&#7779;irir.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Ba&#7779;kasından gelen saldırgan request isteklerini engellersin. 								berkantipek adlı üyeden alıntı:						mesajı görüntüle									Bu sorun JWT'a özel bir şey değil, cookie'lerle session oluşturduğunda da aynı olası problemi adreslemen gerekiyor zaten. Bunu bazı uygulamalar IP tabanlı validasyonla proaktif şekilde önlemeye çalışıyor, diğerleri de kullanıcı istemediği takdirde (beni hatırla vs.) oturum süresini olabildiğince kısa tutmaya çalışıyor. Cookie'lerde tarayıcı kapanınca ilgili cookie'yi silme mevzusu da var, o da bir seçenek olabiliyor. Diğer türlü o oturumun korunmasında kullanıcının da eşit sorumluluğu var. Makinene trojan girip bütün tarayıcı verini çalarsa ne yapabilirsin ki? Ek olarak, JWT kullanıyorsan sitende XSS açığı oluşursa bütün tokenleri yürütürler haberin olsun. O yüzden CSP ayarlarını da iyi yap. Bunu mesela cookie kullanıyorsan eğer HttpOnly deyip çözebiliyorsun, düşünmene gerek kalmıyor.

Sana tavsiyem first party auth yapıyorsan, cookie ve opak tokenlerden faydalan. JWT'ın sana bir faydası yok işleri karıştırmaktan başka.

https://zitadel.com/blog/jwt-vs-opaque-tokens 		aslında aklımda bir proje yokken jwt token mantığını oturtmak adına bir backend yazdım hadi bunu yazmışken birde react native ile bir mobil app yazayım login sistemi nasıl olsa hazır mobile hakkında bilgi sahibi olayım dedim işin içine girip düşündükçe karmaşık bir hal aldı  Genelce cookie de tutmuyorum localde tutuyorum fakat ip ile kontrol edip geçmesi en iyisi sanırım bu kadar takılmaya gerek yok gibi geri kalan güvenliği kullanıcı kendi sağlasın

berkantipek · Answer

digitalDev adlı üyeden alıntı: mesajı görüntüle

süresi var evet ama tokenle refresh tokenı alan birisi ip kontrolü yapmadıkca refresh token ile token yenileme apisine istek atarsa yenileme tokeninin süresi bitmedikçe istediği kadar token alamaz mı? Ben UI da interceptorda refresh token kontrolü yapıyorum ama apide refresh token farklı platformlardan istek atmaya çalışırsa bunu nasıl engellerim

Middleware, rate limiting kullan. Ama bu ikisi de iṣe yaramıyor. Diyelim ki, api adresine saldırganlar dakikada milyonlarca istek atıyor. (çoğu hatalı istek) ama bu hatalı istekler; sunucunu ṣiṣirir.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Baṣkasından gelen saldırgan request isteklerini engellersin.

digitalDev · Answer

berkantipek adlı üyeden alıntı: mesajı görüntüle

Mevzu o değil, authN/authZ işini bir API gateway'e de bırakabilir. Kaç yıldır greenfield ve brownfield projelerde çalışıyorum, ne zaman iş authN/Z'ye el atmaya gelse JWT varsa bu tasarım kararını kim verdiyse arkasından güzel bir sövüyorum. Abi şunu anlamak zor değil, JWT denen nane partiler arası veri paslamıyorsanız Web authentication için kullanılmıyor. Auth0, Okta bile yapmıyor bu saçmalığı, ama ne hikmetse bir JWT manyası var geliştiricilerde. Adamlar 25-30 yıl önce bu sorunu çözmüşler zaten cookie ile.

https://www.google.com/search?q=don%...combinator.com

https://www.google.com/search?q=don%...combinator.com 								ibrahimorginall adlı üyeden alıntı:						mesajı görüntüle									Middleware, rate limiting kullan. Ama bu ikisi de i&#7779;e yaramıyor. Diyelim ki, api adresine saldırganlar dakikada milyonlarca istek atıyor. (çoğu hatalı istek) ama bu hatalı istekler; sunucunu &#7779;i&#7779;irir.

En profesyonel çözüm; cloudflare ve docker kubernetes ile güvenlik duvarı kurmaktır. Ba&#7779;kasından gelen saldırgan request isteklerini engellersin. 								berkantipek adlı üyeden alıntı:						mesajı görüntüle									Ciddi projelerde genelde BFF'den faydalanılır bu durumda. Birden fazla frontend varsa ona göre ayrı backend katmanı çekilir. Mesela sende hem Web, hem mobil var. Hepsinin ihtiyaçları farklı olur. Mesela Web'de server rendered içerik sunabilirsin, mobilde böyle bir şey olmadığı için ya API ya da GQL vs. kullanırsın. Best practice şöyle:

Ayrı bir api projesi oluşturdum gerekli sorguları api ve repositoryleri burada yazıyorum front end olarak mobil başladım ama ileride web içinde aynı apiyi kullanabilirim

berkantipek · Answer

digitalDev adlı üyeden alıntı:						mesajı görüntüle									Ayrı bir api projesi oluşturdum gerekli sorguları api ve repositoryleri burada yazıyorum front end olarak mobil başladım ama ileride web içinde aynı apiyi kullanabilirim 		Nasıl yaptığının bir önemi yok, monolitse de olur. Mesela MVC desenini kullanıyorsan business logic'i servis katmanına ayırıp MVC'den soyutlarsın, view olarak HTML mi döndüğünün, JSON mı döndüğünün bir önemi kalmaz.