F
так если кул-хацкер перехватил валидный токен юзера
ну и пофиг, 403
Size: a a a
2020 February 26
ЕП
то ли же JWT и SPA
JWT круто, сами на работе используем, но я лучше пока по-старинке
F
и хранить вечно токен
ога, он не хранится
F
только на стороне юзера хранится, на бекенде его декодируют только
F
не подходит 403
F
нету прав 401
G
не подходит 403
как ты понял, что он не подходит?
F
как ты понял, что он не подходит?
декодировал, достал роль юзера, сравнил
𝖓
ты не понял, сервер может делать под 1 юзера скок угодно токенов, работать они перестают через Н часов. если кто-то перехватил валидный токен, то он сможет его юзать как хочет, потому что бекенд будет думать что токен норм
G
декодировал, достал роль юзера, сравнил
ага, юзер валидный, токен украли, токен нужно не допускать, что делать?
F
ты не понял, сервер может делать под 1 юзера скок угодно токенов, работать они перестают через Н часов. если кто-то перехватил валидный токен, то он сможет его юзать как хочет, потому что бекенд будет думать что токен норм
у него есть время жизни. Не сможет он вечно жить
F
ага, юзер валидный, токен украли, токен нужно не допускать, что делать?
так можно любую систему скомпроментировать
𝖓
но за то время что живет можно наделать бед
F
но за то время что живет можно наделать бед
как и при любом другом подходе
G
так можно любую систему скомпроментировать
допустим юзер знает, что токен украли и хочет в настройках нажать красные кнопки, чтобы токен стал невалидным
𝖓
так можно любую систему скомпроментировать
но куки-сессии можно инфалидировать. юзер скажет чтоб его вылогинили со всех устройст и сервер просто удалит все сессии, и хацкер не сможет зайти
F
но куки-сессии можно инфалидировать. юзер скажет чтоб его вылогинили со всех устройст и сервер просто удалит все сессии, и хацкер не сможет зайти
ты же сам сказал хацкер перехватывает токен, кукисы тоже перехватил
F
допустим юзер знает, что токен украли и хочет в настройках нажать красные кнопки, чтобы токен стал невалидным
можно для таких случаев хранить в токене какойто ключ, а в базе записывать валидный ли он
𝖓
перехватили, но юзер может это исправить логаутом. а с токеном такое не катит
G
можно для таких случаев хранить в токене какойто ключ, а в базе записывать валидный ли он
ну ничем не отличается от простого хранения токенов)