Перейти на PRO

Как реализовать безопасный выход (logout) для пользователя при JWT-аутентификации

«Как реализовать безопасный выход (logout) для пользователя при JWT-аутентификации» — вопрос из категории Безопасность, который задают на 10% собеседований Python Разработчик. Ниже — развёрнутый ответ с разбором ключевых моментов.

Тип вопроса: Безопасность Вероятность: 10% Категория: Python Разработчик

Ответ

Основная проблема с logout при использовании JWT (JSON Web Tokens) заключается в том, что токены являются stateless (не хранят состояние на сервере) и действительны до истечения своего срока (exp). Простого способа отозвать токен не существует. Для реализации безопасного logout применяют два основных подхода.

1. Черный список токенов (Token Blacklisting)

Это самый надежный способ для немедленного отзыва токена.

Как это работает:

  1. При выходе пользователя (logout) сервер добавляет идентификатор токена (jti) или сам токен в "черный список".
  2. В качестве хранилища для списка идеально подходит быстрое key-value хранилище, например, Redis или Memcached.
  3. При каждом запросе, требующем аутентификации, сервер проверяет, не находится ли предоставленный токен в этом черном списке.

Пример (упрощенная логика на Python):

# В реальном приложении используйте клиент для Redis
BLACKLIST = set()

# Эндпоинт для выхода
@app.route('/logout', methods=['POST'])
@jwt_required()
def logout():
    # Получаем уникальный идентификатор токена
    jti = get_jwt()['jti']
    BLACKLIST.add(jti)
    return jsonify(message="Successfully logged out"), 200

# Декоратор для проверки токена
@jwt.token_in_blocklist_loader
def check_if_token_in_blocklist(jwt_header, jwt_payload):
    jti = jwt_payload['jti']
    return jti in BLACKLIST

Плюсы:

  • Немедленный отзыв токена. Минусы:
  • Требуется дополнительный запрос к хранилищу при каждой проверке токена, что создает дополнительную нагрузку.

2. Короткоживущие Access-токены и Refresh-токены

Этот подход не требует черного списка для каждого токена.

Как это работает:

  1. Access-токен имеет очень короткий срок жизни (например, 5-15 минут).
  2. Refresh-токен имеет долгий срок жизни (дни, недели) и хранится на сервере (в базе данных) в привязке к пользователю.
  3. При logout сервер просто удаляет Refresh-токен из базы данных.
  4. Пользователь больше не сможет обновить свой истекший Access-токен, что фактически равносильно выходу из системы через несколько минут.

Плюсы:

  • Нет необходимости проверять черный список при каждом запросе с Access-токеном.
  • Более масштабируемое решение. Минусы:
  • Logout происходит не мгновенно, а с задержкой до истечения срока жизни Access-токена.
© ХакСобесов, 2026
support@hacksobesov.com