Пошаговое руководство по безопасному использованию JWT в 2025–2026 годах: выбор алгоритма, экспирация, ротация ключей и реакция на утечки. Примерное время выполнения практики — 60–120 минут.
Статья была полезной?
JWT остаётся удобным способом передачи утверждений, но ошибки внедрения приводят к утечкам и обходу авторизации. Типичные проблемы — неправильный выбор алгоритма, длинные TTL, отсутствие механизма ревокации, ошибки в проверке audience/issuer и хранение секрета в конфиге репозитория.
Ниже перечислены конкретные проблемы, с измеримыми данными и примерами ошибок 2025–2026:
Рекомендация 2026: используйте асимметричные алгоритмы с современной кривой или EdDSA. Приоритет — Ed25519 (EdDSA) для новых проектов; RS256 если необходима совместимость; ES256 при требовании ECDSA.
Команды для генерации ключей на Linux с OpenSSL 3.2 (2025):
# Генерация Ed25519 приватного ключа
openssl genpkey -algorithm ED25519 -out ed25519-key.pem
# Публичный ключ
openssl pkey -in ed25519-key.pem -pubout -out ed25519-pub.pem
# Генерация RSA 3072 для RS256 (рекомендуемая длина 3072 или 4096)
openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:3072 -out rsa3072-key.pem
openssl rsa -in rsa3072-key.pem -pubout -out rsa3072-pub.pem
# ECDSA P-256 для ES256
openssl ecparam -genkey -name prime256v1 -noout -out ec-p256-key.pem
openssl pkey -in ec-p256-key.pem -pubout -out ec-p256-pub.pemОжидаемый вывод (успех):
# stdout будет пустой при успешной генерации, файлы созданы
# Проверка размеров файлов
ls -lh ed25519-key.pem rsa3072-key.pem ec-p256-key.pem
-rw------- 1 user user 1124 Apr 12 12:34 ed25519-key.pem
-rw------- 1 user user 1708 Apr 12 12:34 rsa3072-key.pem
-rw------- 1 user user 1212 Apr 12 12:34 ec-p256-key.pemТиповая ошибка и фикс:
# Ошибка: unsupported algorithm
openssl genpkey -algorithm ED448 -out ed448-key.pem
# stderr: "genpkey:algorithm not supported"
# Фикc: обновите OpenSSL до 3.1+ (2023+) или используйте поддерживаемую кривую
# apt-get install openssl=3.2.* или соберите из исходниковПояснение: Ed25519 даёт компактные подписи (~64 байт), высокую производительность и устойчивость к криптоанализу в 2026. RS256 проще для совместимости с внешними провайдерами, но ключи и подписи больше.
Стратегия exp: access token — 10–30 минут, refresh token — 1–7 дней при активной ротации. Для мобильных клиентов допустимы refresh TTL до 30 дней только при строгой ротации и чек-поинтах.
Пример создания JWT с exp в Node.js (jsonwebtoken@9.0.0, релиз 2025):
# Установка (пример время выполнения 8–20 сек)
npm init -y && npm i jsonwebtoken@9.0.0
# Пример скрипта sign.js
cat > sign.js <<'JS'
const fs = require('fs');
const jwt = require('jsonwebtoken');
const priv = fs.readFileSync('rsa3072-key.pem');
const token = jwt.sign({ sub: 'user:123', aud: 'api.example' }, priv, { algorithm: 'RS256', expiresIn: '15m', keyid: 'v1' });
console.log(token);
JS
node sign.jsОжидаемый вывод (успех):
eyJhbGciOiJSUzI1NiIsImtpZCI6InYxIn0.eyJzdWIiOiJ1c2VyOjEyMyIsImF1ZCI6ImFwaS5leGFtcGxlIiwiaWF0IjoxNjgwMDAwMDAsImV4cCI6MTY4MDAwMDkwMH0.SflKx...Типовая ошибка и фикс:
Error: jwt expired
# Происходит при verify если системное время отличается или токен просрочен
# Проверка системного времени
date -u
# Фикс: синхронизируйте время, например systemd-timesyncd или chrony
sudo systemctl enable --now systemd-timesyncd
sudo timedatectl set-ntp trueПояснение: exp зависит от времени сервера; убедитесь, что NTP включен. Защитите refresh-эндпоинт от CSRF и применяйте Sliding Refresh Rotation (см. Шаг 3).
Refresh token rotation предотвращает повторное использование украденного refresh токена. При каждом обмене выдавайте новый refresh и помечайте старый как использованный. Сервер сохраняет список недавно использованных refresh-id (jti) и блокирует повторное применение.
Пример API обмена (curl) и ожидаемые ответы. Предположим: API на https://auth.example, endpoint /token/refresh. Формат JSON.
# Запрос обмена refresh -> новый access+refresh
curl -X POST https://auth.example/token/refresh \
-H "Content-Type: application/json" \
-d '{"refresh_token":"eyJhbGciOiJI...\
Комментарии (0)
Войдите или зарегистрируйтесь, чтобы оставить комментарий
Загрузка комментариев…