基于Refresh Tokens 的 Session Authentication 解决方案

更新的版本 发布在 HackFrog 账号。

职业蛙CareerFrog,我们的技术主要是用于完善和发展业务,我们的核心系统是一个结合了CRM和CMS的复杂并且高效的业务系统。当我们的业务系统发展到一定阶段,简单的 Token Auth 方案已经不能满足系统扩展以及安全性需求,在权衡了几种较好的 Auth 方案,结合业务需求,并且在保证“快速迭代”的前提下,我们最终使用了一个基于 Refresh Token 的 Session Authentication 方案。其图示如下,细节将在文末方案详述一节展开。

图1. refresh-token-based session authentication overview

JWT Token Auth 方案

Authentication 是每一个系统必不可少的一个逻辑成分,我们的核心业务系统(以下简称master系统)自然从一开就有一套使用 JWT 的 Token Auth 方案。这个方案非常简洁并且有效,其基本思路如下:

图片来源:https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec

JWT(JSON Web Tokens)的实现细节可以参考 Mikey Stecky-Efantis的这篇文章或者官方介绍,不关心这些细节的可以直接前往查看 Auth0的 jsonwebtoken 的github介绍

方案特点

  • 易用性 Usability:数据存储在客户端,服务端仅需要对数据进行加密和解密即可。
  • 可扩展性 Scalability:JWT 简单来说就是加密的JSON数据,JWT协议本身对这里的数据几乎没有任何格式或大小限制。在我们使用的时候,可以根据系统要求随时修改token的内容结构。
  • 安全性 Security:HttpOnly 一定程度上降低了XSRF攻击的可能性。

需求和问题

我们的系统一开始对于用户数据的使用相对有限,所以轻量化的Token方案完全可以满足需求。但随着业务需求积累,系统的复杂度逐渐提升,Token方案的不足逐渐暴露出来,其中最主要的问题有两个:

  1. 某些服务需要一些用户相对隐私的信息,将这些数据存储在Token中显然是不负责任的
  2. 出于安全性考虑,在特定情况下(如用户修改重要信息后)我们需要对用户的登录状态进行控制,Token是做不到的

当这些问题的重要性达到一定程度的时候,我们不得不开始寻找改进甚至替代方案。

替代方案探寻

1. Session 方案

因为需要控制用户登录状态,我们自然首先会想到使用服务器session。 Session 本质上是用于存储用户访问相关数据的key-value数据结构。用户每一次登录后服务器会生成一个session, 并将 session ID 保存到客户端,客户端以 session ID 为凭证来进行后面的一系列 http 请求。

[@eloone这篇关于 web session 的文章](http://machinesaredigging.com/2013/10/29/how-does-a-web-session-work/)很好得解释了session的一些基础
Session 方案的特点
  • 性能 FastAccess:通常 session 会存储在内存之类的高速存储中,相比于SQL数据库查询或者Token解析,获取和更新 session 速度会快很多。
  • 服务端控制 ServerInvalidation:所有的用户信息都存储在后端的 session 数据中, 服务器可以主动更改
    session 或者使 session 过期。

2. Refresh Token 方案

Refresh Token 指的是 OAuth 2.0 所提出的一种Token验证模式,其中会用到两种Token: Access TokenRefresh Token。Access Token用于向 Api Service 发送请求时提供身份和权限凭证,它是具有短时效性的特点。 Refresh Token 用于向 Authentication Service 请求新的 Access Token, 从而保持用户的登录状态,它通常是长久保存在客户端的。

关于 Refresh Token 的介绍可以查看这篇Understanding Refresh Tokens

图片来源:https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
方案特点
  • 快速验证 FasterChecks:Access Token 自身就包含了验证信息,Api Service 不需要再调用 Auth Service 来验证用户登录状态及获取用户信息。
  • ** 安全性 ShortAttackWindow**:Access Token 的短时效性极大地缩短了MITM攻击的窗口,提升了安全性。

方案选择

在短时间内做了大量的research之后,基本上能找到的解决方案都是基于以上三种:Token,Session 和 Refresh Token。在选择的时候遇到了难题:基本的Token方案的缺陷已经决定了我们不能再继续使用,使用Session方案的似乎非常符合专业性了,但Refresh Token机制看起来也很fancy。但问题是,Implementation is Everything,每一种方案实现都有它的优缺点。

对于使用什么样的方案我们迟迟不能决定,这个时候我们意识到,当我们开始钻牛角尖去找“最完美的方案”的时候,我们已经失去了机动性。于是我们回到我们的问题和需求上去:

问题和需求
  • 信息安全和隐私保障
  • 用户信息绑定
  • 快速验证

回到这些点上,我们仅解决这些问题。那么,由于安全性需求,Refresh Token 是最好的选择,又因为需要绑定信息涉及用户隐私,则必须有服务器 Session 存储,同时Session有着良好的性能。综合以上,我们提出一个调整的方案:以 Refresh Token 为基础来保障 Authentication,同时用Session ID 来替换 Access Token,做到信息安全。

方案详述

最终方案图示如图1(见摘要部分),其中包含四个主要组成:Client客户端(e.g. 浏览器),Auth Service,Api Service 以及 这两个 Service 共用的 Session 数据。这些端之间的交互主要分以下五点(同图示序号):

  1. 用户登录:用户 Client 端使用账号密码登录,登陆成功 Auth Service 返回 Refresh Token;
  2. 定时获取session_id:Client 定时在 session_id 失效前向 Auth Service 请求新的session_id;
    注:1,2 中使用Auth Service 应使用Https cookie保证安全性
  3. 资源请求:用户 Client 端向 Api Service 发起请求,并携带 session_id;
  4. Auth Middleware:Api Service 收到请求时,第一步通过 Auth Middleware 来验证
    session_id 并绑定用户信息;
  5. Api 返回:Api Service 处理请求并返回结果;

。。。maybe more specific here

总结

在此次 Auth 方案改进的进程中,我们进行了比较多的探索,各种新的旧的方案都有所尝试,甚至使用过一些有明显缺陷的方案,在探索过程中获得了很多收获,让我们看到一些不同的思考问题的方式。需要注意的是,在大量的research中,我们会接触到大量各有优缺点的方案和不同的声音,在这之中很容易迷失方向,最终舍本逐末。对于我们以业务为核心的创业公司来说,最重要的还是明确需求,快速提出解决方案,同时留下改进余地。
最后还需要提出的是,我们的方案绝对不是完美的,只是就我们现有的系统架构和需求来说,相对好的方案。以上提出的一点 research 结果,供大家参考,具体可见参考文章。

参考文章:

  1. 5 Easy Steps to Understanding JSON Web Tokens (JWT)
  2. How does a web session work
  3. Stop using JWT for sessions
  4. Refresh Tokens: When to Use Them and How They Interact with JWTs

推荐阅读更多精彩内容

  • 在职业蛙CareerFrog,我们的技术主要是用于完善和发展业务,我们的核心系统是一个结合了CRM和CMS的复杂并...
    HackFrog阅读 1,536评论 4 1
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 119,288评论 16 133
  • 1. 微服务架构介绍 1.1 什么是微服务架构? 形像一点来说,微服务架构就像搭积木,每个微服务都是一个零件,并使...
    静修佛缘阅读 3,924评论 0 39
  • 看完了今天的晨读材料,我依然很懵。我大概只明白了讲故事很重要,但是怎么讲一个好故事呢? 我认为一篇好的文章,需要逻...
    顾尘埃阅读 82评论 0 2
  • 事实上,打败我们的,不是暴雨,而是我们早已被限制的心。 ...
    镜天阅读 367评论 0 1