Авторизация с JSON Web Token позволяет единожды пройти аутентификацию и авторизацию с логином и паролем, получить JWT токен доступа и в последующих запросах передавать только токен.
Токен содержит всю необходимую серверу информацию о пользователе, что избавляет от необходимости повторной аутентификации.
Освежить знания про формат JWT можно тут.
Токен доступа подтверждает, что пользователь имеет права на доступ к ресурсу. Срок жизни токена доступа обычно 5-15 минут.
Токен обновления используют для повышения уровня безопасности и удобства пользователя. Токен обновления обычно живет до нескольких месяцев и позволяет заново получить токен доступа без повторного ввода данных.
По шагам процесс выглядит так:
Шаг 1. Клиент вводит логин/пароль и получает токен доступа и токен обновления
Шаг 2. Клиент использует токен доступа для обращения к защищённым ресурсам
Шаг 3. Когда токен доступа устарел, клиент отправляет токен обновления и получает новую пару
Ранее мы уже научились посылать запрос с указанием заголовка Authorization с типом Basic Auth для передачи пары логин/пароль.
В случае отправки JWT токена необходимо выбрать заголовок Authorization с типом Bearer Tokenи вставить полученный от сервера токен в поле Token.
Фактически заголовок примет вид:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiJ1c2VyIiwicm9sZSI6IlRFU1QiLCJleHAiOjE3MTYyMzkwMjJ9.
wnZZUqYlOX_WAKjrcaMUdM_JyalzHsRwNfRu74wKPR8
JWT токен считается валидным до тех пор, пока не истек срок его жизни.
Для проверки срока жизни токен необходимо декодировать, например на jwt.io, и сравнить значение в поле exp в payload с текущим моментом времени. Если значение меньше, значит токен протух — срок его жизни истёк.
Формат времени в поле exp представляет собой Unix Time, или количество секунд, прошедших с 1 января 1970 года.
Для приведения к более лёгкой для восприятия системе исчисления времени можно воспользоваться онлайн конвертерами.
Только изменение данных в токене с генерацией новой подписи сделает токен валидным.
Изменение данных без повторной подписи токена может понадобиться, как негативный сценарий проверки сервером подписи или при отключенной проверке на тестовых средах, например, для продления срока жизни токена.
Измените и скопируйте только часть с Payload в формате json
Токен, выдаваемый сервером, всегда должен быть защищён подписью, которая позволяет ему проверять целостность данных в токене и предотвращать их фальсификацию. В задаче посмотрим, что бывает, когда сервер забывает верифицировать токен.
Уровень повышен!
