zmts / tokens.md

Авторизация(authorization — разрешение, уполномочивание) — это проверка прав пользователя на доступ к определенным ресурсам.

Дабы не путаться с понятиями Authentication/Authorization можно использовать псевдонимы checkPassword/checkAccess(я так сделал в своей API)

refresh token — выдается сервером по результам успешной аутентификации и используется для получения новой пары access/refresh токенов. Храним исключительно в httpOnly куке.

Поскольку токены(а данном случае access) это не зашифрованная информация крайне не рекомендуется хранить в них какую либо sensitive data (passwords, payment credentials, etc. )

Если у нас монолит и за аутентификацию отвечает один и тот-же API, тут проблем не должно быть. Но если за аутентификацию отвечает отдельный микросервис, прячем его средствами nginx по выше указанному пути ( super.com/api/auth ).

1. Пользователь логинится в приложении, передавая логин/пароль и fingerprint браузера (ну или некий иной уникальный идентификатор устройства если это не браузер)
2. Сервер проверят подлинность логина/пароля
3. В случае удачи создает и записывает сессию в БД (схема таблицы ниже)
4. Создает access token
5. Отправляет клиенту access и refresh token uuid (взятый из выше созданной сессии)

1. Клиент сохраняет токены(access в памяти приложения, refresh сетится как кука автоматом)

В случае если клиент не браузер, а мобильное приложение, в качестве fingerprint используем любую уникальную строку(тот же uuid ) персистентно хранящуюся на устройстве.

1. Клиент(фронтенд) проверяет перед запросом не истекло ли время жизни access token’на
2. Если истекло клиент делает запрос на POST auth/refresh-tokens в body и соответственно refreshToken куку.
3. Сервер получает запись рефреш-сессии по UUID’у рефреш токена
4. Сохраняет текущую рефреш-сессию в переменную и удаляет ее из таблицы
5. Проверяет текущую рефреш-сессию:
   1. Не истекло ли время жизни
   2. На соответствие старого fingerprint’a полученного из текущей рефреш-сессии с новым полученным из тела запроса

   Вопрос зачем refresh token’y срок жизни, если он обновляется каждый раз при обновлении access token’a ? Это сделано на случай, если юзер будет в офлайне более 60 дней, тогда придется заново вбить логин/пароль.

   1. Хакер воспользовался access token’ом
   2. Закончилось время жизни access token’на
   3. Клиент хакера отправляет refresh token и fingerprint
   4. Сервер смотрит fingerprint хакера
   5. Сервер не находит fingerprint хакера в рефреш-сессии и удаляет ее из БД
   6. Сервер логирует попытку несанкционированного обновления токенов
   7. Сервер перенаправляет хакера на станицу логина. Хакер идет лесом
   8. Юзер пробует зайти на сервер >> обнаруживается что refresh token отсутствует
   9. Сервер перенаправляет юзера на форму аутентификации
   10. Юзер вводит логин/пароль

   Стащить все авторизационные данные это не из легких задач, но все же допустим этот кейс как крайний и наиболее неудобный с точки зрения UX.

   • Удалять все сессии в случае если refresh токен не найден
   1. Хакер воспользовался access token’ом
   2. Закончилось время жизни access token’на
   3. Хакер отправляет refresh куку и fingerprint
   4. На сервере создается новый refresh токен («от хакера»)
   5. Хакер получает новую пару токенов
   6. Юзер пробует отправить запрос на сервер >> обнаруживается что refresh токен не валиден
   7. Сервер удаляет все сессии юзера, в последствии чего хакер больше не сможет обновлять access токен
   8. Сервер создает новую сессию для пользователя
   

   Мнение эксперта

   Черноволов Петр Васильевич, старший консультант банка

   Если у вас есть вопросы, задавайте их мне.

   Задать вопрос эксперту

   Помимо фото, необходимо предоставить еще селфи с документом (фотография), удостоверяющем личность, а также записать видео, где Вы говорите текст, указанный слева от формы загрузки видео: А если у вас еще есть вопросы, задавайте их мне!

   Банк-эмитент недоступен – что это значит

   Мы рассмотрим собственную верификацию платформы, поэтому нажимаем на «верификация данных» напротив логотипа STEX. Далее необходимо заполнить следующие данные:

   Как установить полноценную версию сбербанка на рутованный телефон (или MIUI)

   Первый способ обхода защиты нового приложения Сбербанк Онлайн, работает на всех версиях Android, но нет доступа к Android Pay из сбербанка.

   

   Теперь у вас есть новый способ, сегодня постараюсь дописать сюда ещё один, но для него нужен разблокированный загрузчик, поэтому он подойдет далеко не всем, но на нём будет работать Apple Pay.

   Здесь будет второй способ с помощью Magisk

   Старый способ обхода защиты приложения до версий 7.7.х

   Этот способ будет работать, если у вас установлена версия 7.6.1 или старше. Как вариант, вы можете установить её скачав по этой ссылке, но если обновите, способ перестанет работать.

   Находим ресивер AlarmReceiver и выключаем его. Если не переключается, то заходим в ваш Root-менеджер (SuperSU или встроенный) и предоставляем права для MyAndroidTools.

   Закрываем приложение и переходим обратно в Сбербанк. Видим следующее окно, жмем «Продолжить» (в дальнейшем постоянно жмите только продолжить).

   

   Мнение эксперта

   Черноволов Петр Васильевич, старший консультант банка

   Если у вас есть вопросы, задавайте их мне.

   Задать вопрос эксперту

   Фроловский — хутор в Зеленчукском районе Карачаево-Черкесской республики России. Входит в состав муниципального образования Исправненское сельское поселение. А если у вас еще есть вопросы, задавайте их мне!

   Лингулята

   Токелау, токелаунцы — полинезийский народ, представляющий собой коренное население архипелага Токелау. Общая численность — 3242 человек, из которых около 2 тысяч живут на территории Новой Зеландии.

   Содержание статьи:

   • 1 zmts / tokens.md
     • 1.1 Банк-эмитент недоступен – что это значит
   • 2 Как установить полноценную версию сбербанка на рутованный телефон (или MIUI)
     • 2.1 Первый способ обхода защиты нового приложения Сбербанк Онлайн, работает на всех версиях Android, но нет доступа к Android Pay из сбербанка.
     • 2.2 Здесь будет второй способ с помощью Magisk
     • 2.3 Старый способ обхода защиты приложения до версий 7.7.х
     • 2.4 Лингулята

   Через банкоматы → Преимущества и недостатки → Про Сбербанк → Частые вопросы → Функции онлайн → Мобильные приложения → По телефону → Требования к заемщику→ Отделения банка

   ❗Голосуйте в нашем опросе: