valtureso Mar 26 at 05:22

JWT авторизация в FastAPI: от теории до работающего кода

Medium

8 min

6.9K

Python * Information Security * Website development *

Tutorial

From sandbox

-1

Comments 7

Rsa97 Mar 26 at 06:51

У вас неправильная логика работы с refresh-токеном, он должен быть одноразовым и содержать уникальный идентификатор, позволяющий различить сессии одного пользователя.

Новый refresh-токен выдаётся каждый раз при выдаче access-токена. Информация о выданном refresh-токене сохраняется в базе данных.

При попытке обновления access-токена проверяется не только то, что refresh-токен действителен, но и то, что он есть в базе (сессия пользователя не сброшена) и ещё не использовался.

Если refresh-токена нет в базе, то требуется аутентификация по логину/паролю.

Если refresh-токен уже использовался, то предполагается несанкционированный доступ и из базы удаляются все refresh-токены пользователя, что приводит к необходимости его повторной аутентификации во всех сессиях по завершению действия их access-токенов.

Если refresh-токен в порядке, то он отмечается в базе как использованный и выдаётся новая пара токенов (access + refresh).

Периодически база очищается от старых refresh-токенов, скажем с возрастом больше двойного срока действия.

Jack444 Mar 26 at 08:19

Чел ещё асинхронку не освоил и полез jwt писать где обязательно потребуется воркеры и серверы синхронизировать.

Tishka17 Mar 26 at 22:40

А ещё обработкой refresh токенов и access токенов должны заниматься разные сервисы (authorization server и resource server)

Up_to_Great Mar 27 at 06:51

Полностью согласен, что ротация refresh-токенов с хранением jti в БД — это правильная основа для продакшена.

Несколько практических дополнений:

Гонка запросов. При параллельных вызовах /refresh с одним токеном строгая одноразовость может привести к ложному логауту. Решается блокировкой в БД (SELECT FOR UPDATE SKIP LOCKED) и очередью на клиенте.

Нагрузка на БД. Ротация создаёт много операций записи. Активные токены лучше держать в Redis (с TTL), а PostgreSQL использовать для аудита и долгосрочной истории.

Управление сессиями. Добавление в таблицу refresh-токенов полей user_agent, ip, fingerprint позволяет пользователю видеть активные устройства и отзывать конкретные сессии.

Очистка. Redis сам удаляет истекшие записи. Для таблицы аудита нужен планировщик или партиционирование.

WebSocket. Если в приложении используются постоянные соединения, стоит продумать механизм переподключения с новым токеном без обрыва сессии.

Схема с ротацией хороша, но эти нюансы делают её готовой к реальным нагрузкам и сценариям использования.

Aarrtteemm Mar 26 at 15:03

Очередная нейростатья от вайбкодера?

Mastermind-S Mar 27 at 08:39

Вайб-статья. Угу. Куски рунглиша очень палят нейронку. Почему то жпт не может нормально термины теперь писать. Смотря какой fabric, смотря сколько details.

longvalery 15 hours ago

На мой взгляд, habr должен обучать на примерах, поэтому работающий код расположен здесь ( https://github.com/longvalery/JWTFastAPI.git ) ветка master.

Я попробовал перевести логику на авторизации с учётом замечания Rsa97.