البرمجة.com

إدارة المصادقة والجلسات بأمان: JWT وRefresh Tokens وحماية متقدمة

Close-up of a computer screen displaying HTML, CSS, and JavaScript code

مقدمة: لماذا لا تكفي JWT وحدها؟

استخدام JSON Web Tokens (JWT) شائع لبناء APIs خفيفة وحالات جلسة لا مركزية، لكن الاعتماد على JWT فقط يمكن أن يتركك أمام مشكلتين أساسيتين: صعوبة الإبطال الفوري للرموز (token revocation) وحساسية التخزين أمام هجمات XSS. في هذا الدليل العملي سنعرض تصميمًا متوازنًا يجمع بين Access Tokens قصيرة العمر وRefresh Tokens محمية مع آليات تدوير (rotation) وإبطال، إضافةً إلى ممارسات دفاعية ضد هجمات XSS وCSRF.

المفاهيم الأساسية التي سنتناولها: أنواع الرموز، أين تُخزن، كيف تُجدَّد بأمان، آليات كشف إعادة الاستخدام (reuse detection)، وكيفية تنفيذ سياسات إبطال ومراقبة. هذه التوصيات مبنية على ممارسات صناعية موثوقة (مثل OWASP) وممارسات موفري الهوية (مثل Auth0) لتقليل مخاطر التسريب وسوء الاستخدام.

  • Access Token: قصير العمر (مثلاً دقائق)، يُستخدم في Authorization header.
  • Refresh Token: أطول عمرًا لكنه مُخزن آمنًا (HttpOnly cookie أو آلية BFF) ويُستخدم لتجديد Access Token.
  • Token Rotation: إصدار Refresh Token جديد وإبطال سابقه عند كل تبادل لتقليل أثر التسريب.

تصميم معماري آمن: نمط عملي خطوة بخطوة

النهج الآمن والمتوازن الذي نوصي به يتضمن العناصر التالية:

  1. اعتمد Access Tokens قصيرة العمر (مثلاً 5–15 دقيقة) واستخدمها فقط في رأس الطلب Authorization: Bearer <token> — هذا يقلل أثر أي Access Token مسروق.
  2. خزن Refresh Tokens بطريقة آمنة — أفضل خيار لتطبيقات الويب التقليدية: Set-Cookie مع السمات HttpOnly وSecure وSameSite=Lax/Strict بحيث لا يمكن الوصول إليه عبر JavaScript. عند استخدام SPAs، فكر في نمط BFF (Backend For Frontend) حيث لا يحتاج المتصفح لقراءة Refresh Token مطلقًا.
  3. قم بتفعيل تدوير Refresh Tokens (Rotation) بحيث تُصدر Refresh Token جديدًا وتُلغي السابق عند كل تبادل — هذا يكشف محاولات إعادة الاستخدام ويحد من نافذة الاستغلال إذا سُرِقَت إحدى الرموز. عند اكتشاف إعادة استخدام Refresh Token مُلغى، قم بإبطال عائلة الرموز وإجبار إعادة تسجيل الدخول.
  4. تحقق دائمًا من صحة JWT: تحقق من التوقيع، وحقول المطالبة (claims) الأساسية مثل iss, aud, exp, nbf، ولا تعتمد على رأس الـJWT لاختيار خوارزمية التحقق. استخدم المفاتيح العامة من JWKs عند استخدام RS256.

مثال مبسط لواجهة endpoints (Node.js/Express)

// ملاحظات: هذا مثال توضيحي فقط
// POST /auth/login -> يصدر accessToken و refreshToken (refresh يدفع كـ HttpOnly cookie)
app.post('/auth/login', async (req, res) => {
  // بعد التحقق من بيانات المستخدم
  const accessToken = signAccessToken(user); // عمر قصير
  const refreshToken = createRefreshToken(user); // خزّن الـ hash في DB
  res.cookie('refresh', refreshToken, { httpOnly: true, secure: true, sameSite: 'Lax', maxAge: 30*24*3600*1000 });
  res.json({ accessToken });
});

// POST /auth/refresh -> يقرأ cookie HttpOnly، يتحقق من الرييُوز ويُعيد accessToken جديد ورِيفرش مُدوَّر
app.post('/auth/refresh', async (req, res) => {
  const token = req.cookies.refresh;
  if (!token) return res.status(401).end();
  // التحقق من وجود hash في DB ومقارنة، كشف reuse => إبطال العائلة
  const { valid, rotatedToken } = await verifyAndRotateRefresh(token);
  if (!valid) return res.status(403).end();
  res.cookie('refresh', rotatedToken, { httpOnly: true, secure: true, sameSite: 'Lax' });
  res.json({ accessToken: signAccessToken(user) });
});

// POST /auth/logout -> إبطال refresh token في DB وإزالة الكوكي
app.post('/auth/logout', (req, res) => {
  revokeRefresh(req.cookies.refresh);
  res.clearCookie('refresh');
  res.status(204).end();
});

في هذا التصميم نحتفظ بالتحكم في إبطال الجلسات على الخادم (باستعمال سجل refresh tokens أو hashes لها)، بينما نبقي Access Tokens قصيرة العمر دون الحاجة لتخزينها دائماً على الخادم.

التعامل مع الهجمات الشائعة وطبقة الدفاع

حماية من XSS

بما أن XSS يمكّن تنفيذ JavaScript ضارًا على صفحة المستخدم، فإن تخزين Refresh Tokens في HttpOnly cookies يمنع وصول السكربت إلى تلك الرموز. بالإضافة لذلك، نفّذ سياسات Content Security Policy (CSP)، تجنّب إدراج مكتبات غير موثوقة، وراجع أي نقاط إدخال بيانات. تجنب حفظ رموز طويلة العمر في localStorage لأن أي XSS يتيح قراءتها بسهولة.

حماية من CSRF

عند استخدام الكوكيز كآلية نقل للـRefresh Token، تأكد من الاضطلاع بإحدى استراتيجيات مضادة لـCSRF مثل Double Submit Cookie أو استخدام رمز CSRF على نقطة نهاية /auth/refresh فقط، أو تقييد SameSite بحيث يمنع إرسال الكوكي من مواقع خارجيتة. تقييد endpoint التجديد ليقبل فقط طلبات XHR مع رأس مميز يقلل سطح الهجوم.

كشف إعادة الاستخدام وإبطال العائلة

تدوير Refresh Tokens يجب أن يقترن بآلية كشف إعادة الاستخدام: خزّن تمثيلًا (hash) لكل Refresh Token أو تسلسل عائلي في قاعدة البيانات. عند تلقي Refresh Token مستخدم مسبقًا (بعد تدويره)، اعتبر العائلة مُعرَّضة للخطر وقُم بإبطال جميع الرموز المرتبطة وإجبار المستخدم على إعادة المصادقة. هذه آلية فعّالة ضد هجمات إعادة التشغيل.

ممارسات تشغيلية أخرى

  • سجِّل أحداث إصدار وتوليد/فشل تبادل الرموز ونبه عن نشاطات مريبة.
  • حدّد عمرًا مطلقًا للـRefresh Token (absolute expiration) ونافذة تدوير متوافقة مع تجربة المستخدم.
  • استعمل مفاتيح توقيع قوية ودوّر مفاتيح التوقيع (key rotation) مع JWKs ونشر إصدارات لها.
  • نفّذ ضوابط معدل الطلب (rate limiting) على نقاط تجديد الرموز لتقليل محاولات brute-force.

تذكر أن الجمع بين عدة دفاعات (Defense-in-Depth) أفضل من الاعتماد على وسيلة واحدة. مصادر مرجعية مثل OWASP وموفري هوية موثوقين تقدم تفاصيل تقنية حول التحقق من JWT والتخزين الآمن والتقنيات المناسبة لواجهات API.

قائمة فحص سريعة قبل النشر

  • Access Tokens: مدة قصيرة (≤ 15 دقيقة).
  • Refresh Tokens: مخزنة في HttpOnly, Secure, SameSite cookie أو مُدار عبر BFF.
  • تدوير Refresh Tokens وفحص إعادة الاستخدام.
  • التحقق من توقيع JWT وحقول iss, aud, exp, nbf.
  • تسجيل ومراقبة محاولات التجديد/فشل المصادقة وتنبيه فريق الأمان.
  • تطبيق CSP، فحص الأكواد ضد XSS، وتقييد تحميل السكربتات الخارجية.

خلاصة: التصميم الآمن يلعب على توازن بين تجربة المستخدم والأمن؛ استخدم Access Tokens قصيرة، احمِ Refresh Tokens بخصائص الكوكي الآمن أو بنية BFF، وفعّل تدوير الرموز مع آلية كشف إعادة الاستخدام وإبطال العائلات لتعزيز الأمان بشكل عملي وواقعي.