MG
@DissAss Ради "увеличения секурити" нет, его нет. Как протокол делегации аутентификации - да.
Size: a a a
2019 October 01
MG
Кстати, спасибо.
MG
У нас тут был один чувак, который тоже не мог объяснить, почему решение "best practice", наваял oauth.
MG
Пойду выкорчую нахрен.
AR
Пойду выкорчую нахрен.
так приходится делать иногда
MV
вообще всякие эти JWT тем и хороши, что можно делать всё максимально stateless. По крайней мере нигде не хранить информацию о сесси пользователя, а в идеале вообще никак его больше не аутентифицировать. Токен подписан приватным ключом сервера, его не подделать. А что в токен положить уже все сами решают. Там может быть и просто логин/id пользователя, и какая-то онформация о правах доступа и всё такое.
IG
Когда у тебя вечный токен, ты не можешь быть уверен, что его не украли.
AR
Пойду выкорчую нахрен.
особенно после рубистов, где oauth это гемчик подключить
MG
Он тоже взял какой-то go-oauth и всё быстренько нахреначил.
AB
зачем и для чего вы тут токены протухающие начали изобретать?
Изначально oauth2 всё же для 3rd party.
Аксесс отделен от рефреша, потому что в этом случае его можно проверять в ресурсном сервере без обращения к авторизационному
Аксесс отделен от рефреша, потому что в этом случае его можно проверять в ресурсном сервере без обращения к авторизационному
MP
Присоединяюсь к предыдущим ораторам. Два токена в JWT совсем по другой причине.
MG
Вот, наконец-то кто-то рассказал, зачем оно нужно.
AC
Присоединяюсь к предыдущим ораторам. Два токена в JWT совсем по другой причине.
По какой?
MG
@nwalker Спасибо, теперь понятно.
AR
вообще всякие эти JWT тем и хороши, что можно делать всё максимально stateless. По крайней мере нигде не хранить информацию о сесси пользователя, а в идеале вообще никак его больше не аутентифицировать. Токен подписан приватным ключом сервера, его не подделать. А что в токен положить уже все сами решают. Там может быть и просто логин/id пользователя, и какая-то онформация о правах доступа и всё такое.
авторизация jwt токеном это классическая схема о которой я написал. 2.2 вариант
IG
А если он протухает через 10 минут, это безопаснее, разве не очевидно
MG
Нет, не очевидно.
AR
Изначально oauth2 всё же для 3rd party.
Аксесс отделен от рефреша, потому что в этом случае его можно проверять в ресурсном сервере без обращения к авторизационному
Аксесс отделен от рефреша, потому что в этом случае его можно проверять в ресурсном сервере без обращения к авторизационному
не изначально, а исключительно )
AR
А если он протухает через 10 минут, это безопаснее, разве не очевидно
это не то что бы не очевиднее, это просто не так