Ответ
Стандартный процесс валидации Bearer-токена (чаще всего JWT) на стороне сервера включает несколько обязательных шагов для обеспечения безопасности.
Алгоритм проверки:
-
Извлечение токена. Сервер должен извлечь токен из заголовка запроса
Authorization. Формат заголовка:Authorization: Bearer <token>. -
Проверка подписи (Signature Verification). Это самый важный шаг. Сервер использует секретный ключ (для симметричных алгоритмов, например, HS256) или публичный ключ (для асимметричных, например, RS256), чтобы убедиться, что токен не был изменен после выдачи. Если подпись неверна, токен немедленно отклоняется.
-
Проверка стандартных полей (Claims Validation). Сервер проверяет служебные поля (claims) внутри токена:
exp(Expiration Time): Убедиться, что срок действия токена не истек.nbf(Not Before): Убедиться, что токен уже начал действовать.iss(Issuer): Проверить, что токен выдан доверенным источником.aud(Audience): Проверить, что токен предназначен для данного сервиса.
-
(Опционально) Проверка в черном списке. Если система поддерживает досрочный выход пользователя (logout), идентификатор токена (claim
jti) можно проверить по базе данных отозванных токенов (например, в Redis), чтобы убедиться, что он все еще действителен.
Пример на Python с FastAPI и PyJWT:
from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer
import jwt
SECRET_KEY = "your-secret-key"
ALGORITHM = "HS256"
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
def get_current_user(token: str = Depends(oauth2_scheme)):
credentials_exception = HTTPException(
status_code=status.HTTP_401_UNAUTHORIZED,
detail="Could not validate credentials",
headers={"WWW-Authenticate": "Bearer"},
)
try:
# Шаги 2 и 3: декодирование проверяет подпись и exp
payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM], audience="my_app")
username: str = payload.get("sub")
if username is None:
raise credentials_exception
except jwt.PyJWTError:
# Ошибка подписи, срока действия и т.д.
raise credentials_exception
return {"username": username}Ответ 18+ 🔞
А, слушай, вот эта вся валидация токенов, блядь, — это как проверять паспорт у подозрительного типа в три часа ночи. Надо всё по полочкам, но без понтов.
Первым делом, сука, ты этот токен из запроса выковыриваешь. Он там обычно прячется в заголовке Authorization, прикидываясь порядочным: Bearer <тут_твой_токен>. Если его нет — всё, пиздец, сразу в отказ, без разговоров.
Дальше самое важное — проверить подпись, ёпта! Это как печать в паспорте. Если подпись кривая или ключ не подходит — значит, токен поддельный, его нахуй сразу в мусорку. Используешь либо свой секретный ключик (если алгоритм типа HS256), либо публичный ключ от того, кто этот токен выдал (если RS256). Не проверил подпись — сам себе злобный буратино, тебе потом всю систему взломают через эту дыру.
Потом начинается разбор полётов внутри самого токена. Там же куча служебных полей, которые надо проверить, а то мало ли что:
exp— срок годности. Не истёк ли, блядь? Как молоко прокисшее.nbf— «не раньше». Токен ещё, сука, не активировался? Ждём.iss— кто выдал. Наш ли это знакомый папаша-сервер авторизации, или какой-то левый уёбок?aud— кому предназначен. Нашему ли сервису, или он, блядь, для другого приёма?
А ещё, если ты не лох и сделал нормальный логаут, то надо глянуть, не в чёрном ли списке этот токен. Типа, пользователь вышел, а токен ещё живёт. Так вот, если его jti (идентификатор) есть в списке отозванных (в Redis, например) — значит, он мёртв, брать его нельзя. В рот меня чих-пых!
Ну и вот тебе, для наглядности, кусок кода на Python, как это примерно выглядит. Смотри, не запутайся:
from fastapi import Depends, HTTPException, status
from fastapi.security import OAuth2PasswordBearer
import jwt
SECRET_KEY = "your-secret-key"
ALGORITHM = "HS256"
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")
def get_current_user(token: str = Depends(oauth2_scheme)):
credentials_exception = HTTPException(
status_code=status.HTTP_401_UNAUTHORIZED,
detail="Could not validate credentials",
headers={"WWW-Authenticate": "Bearer"},
)
try:
# Шаги 2 и 3: декодирование проверяет подпись и exp
payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM], audience="my_app")
username: str = payload.get("sub")
if username is None:
raise credentials_exception
except jwt.PyJWTError:
# Ошибка подписи, срока действия и т.д.
raise credentials_exception
return {"username": username}Вот, в try блоке как раз и происходит вся магия: jwt.decode сам проверит и подпись, и сроки. Упадёт с ошибкой — значит, токен говно. Всё просто, как три копейки, главное — не проебать ни один из этих шагов, а то будет овердохуища проблем.