idurar/idurar-erp-crm

Security improvement : refresh token (second token stored in localstorage)

Open

#204 aberto em 8 de jul. de 2023

Ver no GitHub
 (11 comments) (0 reactions) (0 assignees)JavaScript (4.308 stars) (1.036 forks)batch import
good first issue🎨 Frontend🔧 Backend

Description

I think for better security and better user experience refresh tokens can be utilized.

Guia do colaborador

Pilha de tecnologia
javascriptnodejsreactexpressmongodbrest api
Domain
backendsecurityauthentication
Tipo Issue
feature
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
half day
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
needs maintainer response
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
unclear
Prerequisites
basic understanding of JWTknowledge of Node.js authenticationfamiliarity with localStorage and cookies
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
30
Direção de pesquisa
Investigate the current authentication flow in the backend, likely using JWT. Identify where tokens are generated and verified (e.g., in auth routes). Review existing comments in the issue (#204) for any discussion on implementation details. Propose a solution using a refresh token stored in an httpOnly cookie instead of localStorage for better security. Consider adding a token refresh endpoint and updating the frontend to handle token expiration.