catberry / catberry-oauth2-client Goto Github PK

catberry/catberry#217

There is an application that requests user related data from the API. The access token is invalid and it tries to refresh token but it does not have a refresh token either and the endpoint redirects to the same initial page and process goes to a loop.

The main problem is that we don't have an access to refresh token from JavaScript in a browser because it has the HttpOnly flag.

So, we have to invent something.

Now users can't access headers in a response but it's very important to have it, for instance for using ETag or other headers.

If refresh_token or access_token contain characters other than numbers and letters, this can lead to infinite loop applications.

An example of a token: mYGnZR5RfI0XvpJoEyqzii+SFPW3hoObEoKn/xVQWz0=

generator: crypto.randomBytes(32).toString('base64') //nodejs

The data token may not be correctly parsed from cookie here

  getFromRequest: function(request) {
    if (!request.headers || typeof(request.headers.cookie) !== 'string') {
      return {};
    }

    var result = {};
    request.headers.cookie
      .split(';')
      .forEach(function(cookieString) {
        cookieString = cookieString.trim();

        var separatorIndex = cookieString.indexOf('=');

        result[cookieString.substr(0, separatorIndex)] = cookieString.substr(separatorIndex + 1);
      });

    return result;
  }

If you correct the problem with cookies, then there is a problem with sending. For example, the query refresh_token:

{
  "refresh_token": "mYGnZR5RfI0XvpJoEyqzii+SFPW3hoObEoKn/xVQWz0=",
  "grant_type": "refresh_token"
}

// on server req.body will contain

{
  "refresh_token": "mYGnZR5RfI0XvpJoEyqzii SFPW3hoObEoKn/xVQWz0=", // plus changed to space
  "grant_type": "refresh_token"
}

Привет!

1. Это норма, что клиент, авторизованный через "grantType": "password", ходит в oauth-бэкенд каждую минуту? Нормально, что oauth-клиент трижды ходит в oauth-сервер по истечении времени жизни токена? Трижды, видимо, потому, что хранилище с авторизацией привязано к 3м компонентам.
   Пример
2. И второй вопрос: возможно ли затереть куки авторизации, что указаны в конфиге клиента, через сам клиент? Предусмотрены ли соответсвующие endpoints? Хотя, кажется, что разавторизация должна проходить через oauth-сервер, чтобы загасить ненужные токены...

Спасибо!