fast-jwt: cacheKeyBuilder टकराव के माध्यम से कैश भ्रम विभिन्न टोकन से दावे लौटा सकता है (पहचान/प्राधिकरण मिश्रण)

## प्रभाव एक कस्टम cacheKeyBuilder विधि स्थापित करना जो विभिन्न टोकन के लिए ठीक से अद्वितीय कुंजियाँ नहीं बनाता है, कैश टकराव का कारण बन सकता है। इससे सत्यापन प्रक्रिया के दौरान टोकन की गलत पहचान हो सकती है, जिसके कारण: - मान्य टोकन विभिन्न मान्य टोकन से दावे लौटाते हैं - गलत टोकन के आधार पर उपयोगकर्ताओं को अन्य उपयोगकर्ताओं के रूप में गलत तरीके से पहचाना जा रहा है इसके परिणामस्वरूप यह हो सकता है: - उपयोगकर्ता प्रतिरूपण - UserB को UserA की पहचान और अनुमतियाँ प्राप्त होती हैं - विशेषाधिकार वृद्धि - कम विशेषाधिकार वाले उपयोगकर्ताओं को व्यवस्थापक-स्तर की पहुँच विरासत में मिलती है - क्रॉस-किरायेदार डेटा एक्सेस - उपयोगकर्ता अन्य किरायेदारों के संसाधनों तक पहुंच प्राप्त करते हैं - प्राधिकरण बाईपास - गलत उपयोगकर्ता पहचान पर किए गए सुरक्षा निर्णय ## प्रभावित कॉन्फ़िगरेशन यह भेद्यता केवल उन अनुप्रयोगों को प्रभावित करती है जो दोनों: 1. कैश विकल्प का उपयोग करके कैशिंग सक्षम करें 2. कस्टम cacheKeyBuilder फ़ंक्शन का उपयोग करें जो टकराव पैदा कर सकते हैं कमजोर उदाहरण: ``` // टकराव-प्रवण: समान दर्शक = समान कैश कुंजी cacheKeyBuilder: (token) => { const { aud } = parseToken(token) return `aud=${aud}` } // टकराव-प्रवण: उपयोगकर्ता प्रकार द्वारा समूहीकरण cacheKeyBuilder: (token) => { const { aud } = parseToken(token) return aud.includes('admin') ? 'admin-users' :