Комментарии:

1. Комментатор 1: Обратил внимание на отсутствие обработки ситуации, когда refresh токен просрочен. Предлагает добавить перенаправление на страницу логина в таком случае.

• Комментатор 2: Предложил использовать axios.interceptors для автоматического добавления токена в каждый запрос и автоматического обновления токена, а не в каждом конкретном запросе.

• Комментатор 3: Сделал замечание, что проверка CSRF на GET запросах избыточна.

• Комментатор 4: Указал, что использование localStorage для имени пользователя и статуса не является безопасным, так как они могут быть изменены. Предложил использовать более безопасное место для хранения такой информации.

• Комментатор 5: Добавил, что для полного понимания безопасности необходимо помнить об XSS, так как httponly защищает только от JavaScript.

• Комментатор 6: Отметил, что установка Secure=True для cookie необходима в production режиме, а также добавление CORS настроек для поддержки credentials.

• Комментатор 7: Сообщил, что для работы с JWT токенами можно использовать Refresh Token Rotation, что позволяет выпустить новый Refresh token при каждом обновлении.

• Комментатор 8: Заметил, что использование response.data.get('access') может вызвать ошибку, если токен не будет в ответе, поэтому лучше использовать response.data?.access

• Комментатор 9: Напомнил, что необходимо правильно настраивать CORS, а также можно защитить endpoints от CSRF атак на бэке с помощью декоратора @ensure_csrf_cookie.

• Комментатор 10: Уточнил, что secure=True для cookie должно быть всегда True для продакшн. А в development можно поставить False в целях тестирования.

 Безопасная аутентификация с JWT через Cookies: улучшенная стратегия

Перенос JWT токенов в HTTP-only cookies повышает безопасность, предотвращая XSS атаки на локальное хранилище браузера. Ключевым моментом является настройка флагов HttpOnly, Secure (обязательно для HTTPS) и SameSite для кук, что минимизирует риски.

Для авторизации используется специальный сериализатор, который возвращает дополнительные данные пользователя. Важно применять CSRF защиту для всех POST запросов с помощью декоратора, который проверяет CSRF токен, добавляемый в заголовок. При этом проверка CSRF токена для GET запросов не требуется.

В React, HTTP-клиент должен автоматически обрабатывать куки, передавая их в каждом запросе, а также отлавливать случаи просроченного refresh токена, при которых пользователь должен быть перенаправлен на страницу входа. Применяйте interceptors axios для автоматизации процесса обновления токена.

Для хранения данных о пользователе (имя, статус) следует избегать небезопасного localStorage. Рассмотрите более защищенные альтернативы. Помните про необходимость правильной настройки CORS для работы с credentials. Кроме того, важно использовать Refresh Token Rotation для повышения безопасности токенов.

Учитывайте возможность получения ошибки при доступе к response.data.access и обрабатывайте этот вариант, а также убедитесь, что вы защищаете свои endpoints с помощью декоратора @ensure_csrf_cookie на сервере. Наконец, secure=True для cookie необходимо установить в True для production, а в development при необходимости можно выставить False для тестирования.

Источник: bunday