Token low security issue

[leocouderc]

When log out, token is destroy from client but is still valid.

Solution 1) create a blacklist
Solution 2) set a short time for the token and frequently refresh it

[leocouderc]

to resolve this issues : edit logOut()

[beber32]

le front envoie une requete au back lord du logout mais ne fait rien. Le front modifie le cookie pour suppprimer le token.
Le token reste cependant valide pour le back donc si qq'un vole le token à l'utilisateur, il pourra toujours effectuer des requetes avec.

A gérer dans /backend/controller/authentification.js

[salimkanoun]

@beber32 @leocouderc on fait quoi de cet issue?
Je pense que c'est overkill de tracker les jetons dont la session est terminée

@leocouderc le truc interessant en revance serait de faire que le jeton soit rafraichit a chaque requette et on reset le temps à 30 minutes
Comme ca la durée du jeton c'est 30 minutes d'inactivité

C'est faisable ca?

[leocouderc]

Oui c'est faisable, y a plusieurs façons d'aborder le problème :

https://gist.github.com/ziluvatar/a3feb505c4c0ec37059054537b38fc48
auth0/node-jsonwebtoken#122
auth0/node-jsonwebtoken#172

Une solution pourrait être de demander au back de renvoyer un token identique quand il expire mais avec une date d'exp différente. Faut juste voir comment implémenter dans le front (pour savoir quand il doit envoyer la requête de rafraichissement).

Par contre la doc officielle du jwt déconseille fortement le rafraichissement car c'est souvent source de vulnérabilité. (on pourrait mettre la durée de vie à 1h ou plus et si la durée est dépassé, l'utilisateur dois juste ce reconnecté ?)

[salimkanoun]

interessant, c'est ou la doc qui déconseille le rafraichissement ?

[leocouderc]

c'est sur le git de la librairie qu'on utilise : https://github.com/auth0/node-jsonwebtoken

Refreshing JWTs
First of all, we recommend you to think carefully if auto-refreshing a JWT will not introduce any vulnerability in your system.

We are not comfortable including this as part of the library, however, you can take a look at this example to show how this could be accomplished. Apart from that example there are an issue and a pull request to get more knowledge about this topic.