Odebrání přístupu

Důvody k odebrání přístupu

1. Uživatel si to výslovně přeje (aplikaci již nechce dále používat)
2. Vývojář chce zrušit platnost všech tokenů
3. Vývojář aplikaci smazal
4. Vy jako poskytovatel jste zjistili, že je aplikace zranitelná nebo škodlivá a chcete ji zakázat

• Revokování tokenů bude různé v závislosti na jejich implementaci

Databáze tokenů

• V případě ukládání tokenů do databáze je snadné jejich platnost zrušit
• Je snadné napsat query, která najde a odstraní všechny tokeny daného uživatele na základě jeho ID
• V případě, že server ověřuje platnost tokenů tím, že je vyhledá v databázi, pak se při dalším požadavku nepodaří token najít a ověřit

Self-encoded tokeny

• Pro stateless mechanismy ověřování tokenů, je jedinou možností počkat, až platnost tokenu vyprší a nadále přestat generovat nové tokeny pro daného uživatele
• U tohoto druhu tokenů se doporučuje velmi krátká životnost tokenu
• Pokud se dá použít určitá úroveň statefulness, je možné serverům předat seznam ID tokenů (jti) a servery mohou tento seznam kontrolovat při ověřování tokenu
• V případě revokování takového tokenu se ID tokenu (jti) uloží do zmíněného seznamu nebo naopak odstraní (whitelist vs blacklist)
• Tato varianta však nemusí být optimální pro stateless systémy

1. Revokujte také refresh tokeny, které byly vydány spolu s access tokeny
   • V případě požádání o nový access token refresh tokenem, bude tato akce zamítnuta

Kam dál

Zranitelnosti

• Porušení access controls

Checklisty

• Autorizace