1
Vývoj / Re:PHP - mikroslužby - autentizace
« kdy: 30. 07. 2021, 12:23:06 »Existuje (víceméně) standardní řešení – JSON Web Token. Je to podobné jako to, co jste vymyslel – údaje zapsané v JSON struktuře a to celé podepsané (buď jen hash nebo certifikát). Nucené odhlášení se řeší tak, že samotný JWT používaný při komunikaci má krátkou dobu platnosti a klient si ho musí relativně často obnovovat – při obnovení komunikuje s autorizačním serverem a ten má možnost token neobnovit.
Token se pak obvykle předává standardní hlavičkou Authorization, ve webovém prohlížeči není uložen v cookies ale v sessionStore, odkud si ho musí klientská webová aplikace explicitně vyzvednout a předat do hlaviček. Je to bezpečnější než cookies, které prohlížeč předává automaticky. Pokud se útočníkovi podaří vyvolat nějaký požadavek z prohlížeče na vaše API, prohlížeč přiloží cookie automaticky. Když se musí token načítat ze sessionStore, musel by útočník spustit JavaScript v rámci příslušné webové aplikace na dané doméně, čemuž se dá mnohem lépe bránit.
no problém je že JWT se nedá revokovat a platí pořád pokud jsou platné klíče.