Skip to content

[DSI-4.5] Implementar el refresh token && [DSI-4.6] Modificar el frontend con el nuevo microservicio y usar Http-only para los tokens#33

Open
davposmar wants to merge 28 commits into
developfrom
feature/refreshToken
Open

[DSI-4.5] Implementar el refresh token && [DSI-4.6] Modificar el frontend con el nuevo microservicio y usar Http-only para los tokens#33
davposmar wants to merge 28 commits into
developfrom
feature/refreshToken

Conversation

@davposmar

@davposmar davposmar commented Jul 7, 2026

Copy link
Copy Markdown
Collaborator

Resumen

Se ha añadido el mecanismo de los refresh token el cual consiste en una petición cuando al jwt le queda un minuto para expirar haciendo un refresh del token de sesión con esto se quiere reducir el tiempo de vida del jwt para mitigar los impactos de posibles robos, aunque no se ha movido este a una cookie del tipo http-only por motivos de infraestructura, por otra parte el token de larga duración si es http-only, este token está compuesto por dos UUID unidos por un “.” siendo la primera parte el identificador y la segunda el secret, es prácticamente imposible adivinar una combinación entera dado que son 2^244 combinaciones, además en cada refresh se hace una nueva combinación.

Issues relacionados

PR: Closes #10 #9

Cambios realizados

  • Se ha añadido un refresh token para permitir jwt de corta duración y reducir el tiempo de acción en caso de los robos de los tokens.
  • Se ha añadido una pantalla para poder revocar y eliminar tokens.

Tipo de cambio

  • Feature (nueva funcionalidad)
  • Bug fix (corrección de error)
  • Refactor (sin cambio funcional)
  • Docs (documentación)
  • Infra (CI/CD, configuración, dependencias)

Checklist

  • El código compila sin errores
  • He probado los cambios localmente
  • He añadido/actualizado tests si aplica
  • He actualizado la documentación si aplica

davposmar added 28 commits June 23, 2026 11:26
- inital http, https, mtls clients
- Add extra port using mtls
- Proxy
- API-INTERNAL-KEY
- handle some errors
- Build and excute request (http, https, mTLS)
- new internal filter
- fixed request's body
- filters abstraction (Internal and Jwt)
- get token objects
- Add some docs about the framework ( not finished )
- Change SecurityUtils using framewrok option
- Change jwt filter and add internal filter
- RateLimit configuration
- Jwt parser
- Auth makes request to Delivera
- delivera db doesn't contains password anymore.
- registers now send a mTLS request to add the user.
- change username updates auth db using mTLS.
- remove an user if u removes a worker an there aren't no more workers related to.
- add max expired at of token
- Use instant instead of LocalDateTime
- InvalidRefreshToken removes cookie
- refresh jwt one minute before it expires
- creates and use DeviceId
@davposmar davposmar requested a review from ThePayan July 7, 2026 09:31
@davposmar davposmar self-assigned this Jul 7, 2026

@ThePayan ThePayan left a comment

Copy link
Copy Markdown
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Se ve correcto

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

enhancement New feature or request

Projects

None yet

Development

Successfully merging this pull request may close these issues.

[DSI-4.6] Modificar el frontend con el nuevo microservicio y usar Http-only para los tokens [DSI-4.5] Implementar el refresh token

2 participants