Versions Compared

Old Version 1

changes.mady.by.user Onesait Security (Unlicensed)

Saved on

compared with

New Version Current

changes.mady.by.user Onesait Security (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Por tanto, el flujo de los JWTs podría ilustrarse cómo:

...

Ejemplo de implementación del proceso de autenticación

...

Por lo tanto, el nuevo flujo del proceso de inicio de sesión quedaría de la siguiente manera:

...

  1. El usuario inicia sesión mediante una llamada a la API.

  2. El servidor genera un JWT y un token de actualización.

  3. El servidor genera una cookie, con una cabecera HttpOnly, con el token de actualización. El JWT y el tiempo de caducidad del token son devueltos al cliente como datos del JSON.

  4. El JWT se almacena en memoria.

  5. Se inicia la cuenta atrás para realizar la actualización silenciosa basándose en el tiempo de caducidad.

En cuanto al proceso de actualización silenciosa, el flujo queda de la siguiente forma:

...

  1. Se realiza una llamada a la API (por ejemplo, refresh_token).

  2. El servidor consulta la cookie con la cabecera HttpOnly en busca de un token de actualización válido.

  3. Si el servidor encuentra un token de actualización válido, envía un nuevo JWT junto con su tiempo de caducidad al mismo tiempo que establece un nuevo token de actualización en la cabecera Set-Cookie.

...

Para persistir las sesiones de forma segura utilizaremos la actualización de tokens. De la misma forma que se utiliza la actualización silenciosa de token para renovar la sesión actual y que el usuario no sea desconectado, se puede usar para obtener un nuevo JWT para la nueva sesión. Cuando el usuario cierra la sesión actual cerrando la pestaña del navegador y vuelve a visitar la aplicación el flujo quedaría de la siguiente manera:

...

  1. Si se detecta que no hay un JWT en memoria entonces se realiza el flujo de actualización silenciosa.

  2. Si se detecta un JWT válido (o no ha sido invalidado) se obtiene un nuevo JWT.

  3. En caso de que el token de actualización haya caducado (si el usuario vuelve a abrir la aplicación tras un largo periodo de tiempo) o haya sido invalidado (si se ha hecho un cierre de sesión forzoso) el usuario obtendrá un error 401. Esto también ocurriría si no hay ningún token de actualización en el momento de recuperar la sesión por lo que se obtendrá un error al llamar a la API (por ejemplo, refresh_token) y se redirigirá al usuario a la pantalla de inicio de sesión.

...