Отзыв токена

@kotelok · Регистрация: 08.08.2014

Студворк — интернет-сервис помощи студентам

Понимаю, что всё давно придумано и проверено, но хочется меньше оверхеда.
Вопрос чисто по архитектуре решения, не по реализации. т.к, возможно, я не вижу какие-то принципиально иные подходы.

авторизация тут не рассматривается, только аутентификация

Если кратко, хочется следующего:
1. Отдельный сервис, который умеет по логину/паролю выдать подписанный JWT.
2. Какой-то бэкэнд-сервис, который при потреблении этого JWT проверит не только его подпись и срок действия, но и как-то удостоверится, что токен не был отозван. К базе пользователей (логины/пароли) этот сервис доступа, разумеется, иметь не должен.

[1]
Популярный сейчас вариант реализации - бэкэнд, потребляющий JWT, на этапе валидации конкретного токена, никак с сервисом его выдавшим не взаимодействует (ну, т.е. периодически актуализирует ключ для проверки подписи, но это фоново):
1. Сервис аутентификации по логину/паролю выдаёт access-token и refresh-token. Первый - действует несколько минут, второй - долго.
2. Сервис (бэкэнд), который потребляет access-token просто проверяет подпись и срок действия.
3. Если access-token просрочился, то клиентская часть получает от бэка 401, идёт на сервер аутентификации и без логина/пароля по refresh-token получает новый access-token. И на этом этапе сервер аутентификации может выдать отказ, если аккаунт был забанен, или если пользователь изменил пароль.

Плюсы:
- во втором пункте минимальные затраты ресурсов и минимальное время выполнения.
- есть готовая реализация в виде IdentityServer.
Минусы:
- время отзыва токена после блокировки аккаунта или смены пароля определяется временем жизни access-token.
- фронт/клиент вынужден регулярно получать 401 от бэкэнда и ходить за новым access-token, а это задержки для пользователя и регулярные дополнительные запросы. Даже если фронт сам будет проверять срок жизни токена, это всё равно регулярные вызовы на обновление токена и дополнительная логика фронта.

[2]
Очевидный вариант избавления от указанных выше минусов:
1. При каждой валидации токена на бэкэнде, делать дополнительный запрос к сервису аутетнификации для проверки, не отозван ли токен.

Плюсы:
- фронт/клиент не получает дополнительной нагрузки/задержек на регулярных перезапросах токена и 401-ответах от бэкэнда.
- отзыв токена происходит моментально.
Минусы:
- страшный минус - при каждой проверке токена, при каждом, даже самом маленьком запросе, происходит полноценный HTTP-вызов другого сервиса, а это дополнительная задержка в обработке каждого запроса к бэку.
- даже если поверх IS4 реализовывать, всё равно немного велосипед получается.

@kotelok · 10.04.2020, 10:47 **[ТС]**

Вообще, складывается впечатление, что JWT в чистом виде в реальных проектах смысла не имеет, т.е. как самодостаточная единица аутетнификации. Т.е. всё равно, в том или ином виде, реализуются сессии для управления ранее выданными токенами, а при каждой проверке токена на бэкэнде всё равно выполняется дополнительное обращение к хранилищу (или другому сервису) для проверки актуальности полученного токена.

@carrotik · 10.04.2020, 11:07

... может и офтопик в данном конкретном случае, но мое мнение - в корпоративном доступе надо полагаться на VPN (или иные защищенные каналы) .. а в публичном (но зарегистрированном) - ну, подождет клиент пару-тройку десятков миллисекунд, не облезет ..

@nicolas2008 · 10.04.2020, 18:59

Можно хранить блеклист токенов в распределенном кеше, например Redis.
Обращение к кешу по идеи должно быть быстрее чем http запросы к сервису аутентификации.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@kotelok 1338 / 918 / 264 Регистрация: 08.08.2014 Сообщений: 2,759

	Отзыв токена 09.04.2020, 21:16. Показов 1517. Ответов 3 Метки нет (Все метки) Понимаю, что всё давно придумано и проверено, но хочется меньше оверхеда. Вопрос чисто по архитектуре решения, не по реализации. т.к, возможно, я не вижу какие-то принципиально иные подходы. авторизация тут не рассматривается, только аутентификация Если кратко, хочется следующего: 1. Отдельный сервис, который умеет по логину/паролю выдать подписанный JWT. 2. Какой-то бэкэнд-сервис, который при потреблении этого JWT проверит не только его подпись и срок действия, но и как-то удостоверится, что токен не был отозван. К базе пользователей (логины/пароли) этот сервис доступа, разумеется, иметь не должен. [1] Популярный сейчас вариант реализации - бэкэнд, потребляющий JWT, на этапе валидации конкретного токена, никак с сервисом его выдавшим не взаимодействует (ну, т.е. периодически актуализирует ключ для проверки подписи, но это фоново): 1. Сервис аутентификации по логину/паролю выдаёт access-token и refresh-token. Первый - действует несколько минут, второй - долго. 2. Сервис (бэкэнд), который потребляет access-token просто проверяет подпись и срок действия. 3. Если access-token просрочился, то клиентская часть получает от бэка 401, идёт на сервер аутентификации и без логина/пароля по refresh-token получает новый access-token. И на этом этапе сервер аутентификации может выдать отказ, если аккаунт был забанен, или если пользователь изменил пароль. Плюсы: - во втором пункте минимальные затраты ресурсов и минимальное время выполнения. - есть готовая реализация в виде IdentityServer. Минусы: - время отзыва токена после блокировки аккаунта или смены пароля определяется временем жизни access-token. - фронт/клиент вынужден регулярно получать 401 от бэкэнда и ходить за новым access-token, а это задержки для пользователя и регулярные дополнительные запросы. Даже если фронт сам будет проверять срок жизни токена, это всё равно регулярные вызовы на обновление токена и дополнительная логика фронта. [2] Очевидный вариант избавления от указанных выше минусов: 1. При каждой валидации токена на бэкэнде, делать дополнительный запрос к сервису аутетнификации для проверки, не отозван ли токен. Плюсы: - фронт/клиент не получает дополнительной нагрузки/задержек на регулярных перезапросах токена и 401-ответах от бэкэнда. - отзыв токена происходит моментально. Минусы: - страшный минус - при каждой проверке токена, при каждом, даже самом маленьком запросе, происходит полноценный HTTP-вызов другого сервиса, а это дополнительная задержка в обработке каждого запроса к бэку. - даже если поверх IS4 реализовывать, всё равно немного велосипед получается. 0

@kotelok 1338 / 918 / 264 Регистрация: 08.08.2014 Сообщений: 2,759
	10.04.2020, 10:47 [ТС]
	Вообще, складывается впечатление, что JWT в чистом виде в реальных проектах смысла не имеет, т.е. как самодостаточная единица аутетнификации. Т.е. всё равно, в том или ином виде, реализуются сессии для управления ранее выданными токенами, а при каждой проверке токена на бэкэнде всё равно выполняется дополнительное обращение к хранилищу (или другому сервису) для проверки актуальности полученного токена. 0

@carrotik 800 / 583 / 207 Регистрация: 21.02.2019 Сообщений: 2,095
	10.04.2020, 11:07
	... может и офтопик в данном конкретном случае, но мое мнение - в корпоративном доступе надо полагаться на VPN (или иные защищенные каналы) .. а в публичном (но зарегистрированном) - ну, подождет клиент пару-тройку десятков миллисекунд, не облезет .. 1

@nicolas2008 1152 / 860 / 263 Регистрация: 30.04.2009 Сообщений: 3,603
	10.04.2020, 18:59
	Можно хранить блеклист токенов в распределенном кеше, например Redis. Обращение к кешу по идеи должно быть быстрее чем http запросы к сервису аутентификации. 1