Application Security

امنیت API: بررسی عمیق چرخش توکن تازه‌سازی JWT و توکن‌های دسترسی کوتاه‌مدت

در اکوسیستم مدرن توسعه وب، توکن‌های وب JSON (JWT) به استاندارد پیش‌فرض برای احراز هویت بدون حالت تبدیل شده‌اند. با این حال، پیاده‌سازی پیش‌فرض—که در آن یک توکن دسترسی با عمر طولانی با هر درخواست ارسال می‌شود—سطح حمله بسیار بزرگی ایجاد می‌کند. اگر یک مهاجم توکن را از طریق XSS یا شنود شبکه دستکاری کند، به دسترسی طولانی‌مدت به حساب کاربری دست می‌یابد. برای کاهش این خطر حیاتی، باید استراتژی مستحکمی را اتخاذ کنیم که ترکیبی از توکن‌های دسترسی کوتاه‌مدت با مکانیزم چرخش توکن تازه‌سازی امن باشد.

آسیب‌پذیری توکن‌های با عمر طولانی

هنگامی که کاربر وارد سیستم می‌شود، یک توکن دسترسی دریافت می‌کند که برای احراز هویت درخواست‌های API استفاده می‌شود. اگر این توکن برای ساعت‌ها یا روزها معتبر بماند، پنجره فرصت برای مهاجم نیز به همان اندازه بزرگ خواهد بود. در یک سناریوی استاندارد، حتی اگر توکن دزدیده شود، سیستم نمی‌تواند آن را باطل کند تا زمانی که به طور طبیعی منقضی شود. این «تصرف خاموش» به مهاجمان اجازه می‌دهد تا دسترسی پایدار به بک‌اند حفظ کنند و احتمالاً داده‌های حساس را سرقت کنند. راه حل در تغییر معماری نهفته است: صدور توکن‌های دسترسی با عمر بسیار کوتاه (معمولاً ۵ تا ۱۵ دقیقه) و مدیریت اعتبار طولانی‌مدت از طریق یک توکن تازه‌سازی جداگانه. با این حال، صرفاً داشتن یک توکن تازه‌سازی کافی نیست؛ اگر همان توکن تازه‌سازی به طور نامحدود استفاده مجدد شود، همان خطرات توکن دسترسی با عمر طولانی را به ارث می‌برد. اینجا است که چرخش وارد عمل می‌شود.

درک چرخش توکن تازه‌سازی

چرخش توکن تازه‌سازی یک مکانیزم امنیتی است که در آن هر بار که یک توکن تازه‌سازی برای دریافت یک توکن دسترسی جدید استفاده می‌شود، سرور توکن تازه‌سازی قدیمی را باطل کرده و یک توکن جدید و منحصر به فرد صادر می‌کند. این کار تضمین «استفاده یک‌بار» را ایجاد می‌کند. اگر مهاجمی موفق شود یک توکن تازه‌سازی قدیمی را بدزدد، می‌تواند آن را یک بار برای دریافت یک توکن دسترسی جدید استفاده کند. با این حال، به محض اینکه کاربر قانونی تلاش می‌کند تا نشست خود را تازه کند، سرور توکن دزدیده شده را رد می‌کند زیرا قبلاً باطل شده است. این بلافاصله تجاوز را علامت‌گذاری کرده و به برنامه اجازه می‌دهد تا یک خروج اجباری را برای کاربر فعال کند.

پیاده‌سازی معماری

برای پیاده‌سازی موثر این مکانیزم، به یک مکانیزم ذخیره‌سازی امن (معمولاً یک پایگاه داده) برای ردیابی توکن‌های تازه‌سازی فعال نیاز دارید. بیایید یک پیاده‌سازی مفهومی Node.js/Express را با استفاده از پایگاه داده برای ذخیره متادیتای توکن بررسی کنیم.

const express = require('express');
const jwt = require('jsonwebtoken');
const crypto = require('crypto');
const { db } = require('./database'); // فرض بر ماژول db با یک کلکسیون

const app = express();

// تولید توکن‌های دسترسی و تازه‌سازی
async function generateTokens(userId) {
  const accessToken = jwt.sign(
    { userId, role: 'user' },
    process.env.ACCESS_TOKEN_SECRET,
    { expiresIn: '15m' }
  );

  const refreshToken = crypto.randomBytes(32).toString('hex');
  
  // ذخیره توکن تازه‌سازی در پایگاه داده با تاریخ انقضا و شناسه کاربر
  await db.collection('tokens').insertOne({
    userId,
    refreshToken,
    createdAt: new Date(),
    expiresAt: new Date(Date.now() + 7 * 24 * 60 * 60 * 1000) // ۷ روز
  });

  return { accessToken, refreshToken };
}

// میانه‌رو چرخش
app.use('/api/data', async (req, res, next) => {
  try {
    const authHeader = req.headers['authorization'];
    const token = authHeader && authHeader.split(' ')[1];
    
    if (!token) return res.status(401).send('دسترسی رد شد');

    const payload = jwt.verify(token, process.env.ACCESS_TOKEN_SECRET);
    
    // منطق: اگر توکن تازه‌سازی مورد نیاز است (مثلاً توکن دسترسی منقضی شده)، چرخش را مدیریت کنید
    // برای این مثال، فرض می‌کنیم کلاینت توکن تازه‌سازی را در بدنه
    // مسیر /refresh ارسال می‌کند.
    
    next();
  } catch (err) {
    return res.status(403).send('توکن نامعتبر');
  }
});

// مسیر چرخش
app.post('/api/auth/refresh', async (req, res) => {
  const { refreshToken } = req.body;

  // ۱. بررسی وجود توکن در پایگاه داده
  const record = await db.collection('tokens').findOne({ refreshToken });

  if (!record) {
    return res.status(401).json({ error: 'توکن تازه‌سازی نامعتبر' });
  }

  // ۲. بررسی انقضا
  if (new Date() > record.expiresAt) {
    await db.collection('tokens').deleteOne({ refreshToken });
    return res.status(401).json({ error: 'توکن تازه‌سازی منقضی شده' });
  }

  // ۳. تأیید مطابقت توکن با نشست کاربر (اختیاری اما توصیه شده)
  // ۴. باطل کردن فوری توکن قدیمی
  await db.collection('tokens').deleteOne({ refreshToken });

  // ۵. تولید توکن‌های جدید و ذخیره توکن تازه‌سازی جدید
  const newTokens = await generateTokens(record.userId);

  // ۶. ذخیره توکن تازه‌سازی جدید در پایگاه داده
  await db.collection('tokens').insertOne({
    userId: record.userId,
    refreshToken: newTokens.refreshToken,
    createdAt: new Date(),
    expiresAt: newTokens.expiresAt // منطق از تولیدکننده
  });

  res.json(newTokens);
});

ملاحظات عملی و بهترین شیوه‌ها

اگرچه کد بالا منطق اصلی را نشان می‌دهد، پیاده‌سازی در محیط تولید نیازمند توجه به جزئیات است. اول، اطمینان حاصل کنید که توکن‌های تازه‌سازی در کوکی‌های HttpOnly ذخیره شوند تا از دسترسی XSS جلوگیری شود و از ویژگی SameSite=Strict برای کاهش CSRF استفاده کنید. دوم، پایگاه داده‌ای که این توکن‌ها را ذخیره می‌کند باید امن باشد؛ اگر مهاجمی به پایگاه داده شما دسترسی پیدا کند، ممکن است بتواند توکن‌های معتبر را قبل از اینکه منطق چرخش فعال شود، تکرار کند. علاوه بر این، پیاده‌سازی پنجره لغزنده را در نظر بگیرید. اگر کاربر غیرفعال باشد، توکن‌های تازه‌سازی او باید در نهایت منقضی شوند، حتی بدون چرخش. همچنین، اگر یک ناهنجاری در چرخش تشخیص داده شود (مثلاً استفاده از توکن از یک آدرس IP متفاوت بلافاصله پس از دزدیده شدن)، باید تمام توکن‌های بعدی برای آن کاربر باطل شود تا احراز هویت کامل مجدداً انجام شود.

نتیجه‌گیری

پیاده‌سازی چرخش توکن تازه‌سازی JWT و توکن‌های دسترسی کوتاه‌مدت نه تنها یک بهترین شیوه، بلکه ضروری برای امنیت برنامه‌های مدرن در برابر سرقت توکن است. با محدود کردن عمر توکن‌های دسترسی و اطمینان از اینکه توکن‌های تازه‌سازی یک‌بار مصرف هستند، تأثیر اعتبارنامه‌های نقض شده را به طور قابل توجهی کاهش می‌دهید. این استراتژی یک سناریوی «شکستن شیشه» را برای مهاجمان ایجاد می‌کند و حفظ دسترسی پایدار و غیرمجاز به سیستم‌های شما را بسیار دشوارتر می‌سازد. به عنوان یک توسعه‌دهنده، اولویت دادن به این مکانیزم‌ها رویکردی پیشگیرانه در امنیت برنامه را نشان می‌دهد که هم از کاربران و هم از داده‌های سازمان شما محافظت می‌کند.
Share: