SuperTokens описание, скриншоты и видео

Что такое супертокены?

SuperTokens управляет сеансами пользователей наиболее безопасным способом, сводя к минимуму вероятность атак сеанса (таких как XSS, фиксация сеанса, скомпрометированный ключ подписи JWT, CSRF и т. д.) и обеспечивая надежные способы обнаружения кражи сеанса (мы используем токены с чередующимся обновлением — в соответствии с рекомендациями). IETF в RFC 6819). Мы сделали его легко настраиваемым и невероятно простым в интеграции, что сэкономило время вашего разработчика.

Что такое управление сеансом пользователя?

Сервисы (например, Facebook, Netflix, slack и т. д.) хранят токены аутентификации (идентифицирующую информацию) на устройстве пользователя, что позволяет пользователю получить доступ к сервису без необходимости повторного входа в систему. Управление сессиями — это система, с помощью которой эти токены создаются, хранятся, изменяются и уничтожаются.

В чем проблема?

Украденный токен может обеспечить существенный доступ к учетной записи пользователя, и эти токены гораздо более подвержены краже, чем пароли (они имеют гораздо более высокую частоту передачи и хранятся во внешнем интерфейсе). Управление сессиями невероятно важно, и в результате кражи токенов произошло несколько заметных взломов (скомпрометировано около 200 тысяч учетных записей Docker Hub, 50-90 миллионов учетных записей Facebook). Многие компании внедряют очень простой поток управления сеансами из-за давления сроков выпуска продукта, когда безопасность становится второстепенным приоритетом.