ɪᴋ
Вот тут действительно не нужно ни в базу за паролем лезть, ни в редис за токеном.
Size: a a a
2019 October 06
ST
Но идея же в том, чтобы в JWT засунуть всю информацию для авторизации. В стандартном поле exp хранится время истечения, например. Можно добавить скоупы.
а отозвать такой токен как?
например при явном логауте?
например при явном логауте?
ST
я, например, сколько перечитал, работал с разными апи, свои писал — у меня нет ясной картинки по данному вопросу
везде торчат какие-нибудь допущения
везде торчат какие-нибудь допущения
ɪᴋ
Никак получается) Хорошо что у токена малый TTL, если использовать рефреш!
ɪᴋ
Вот мы и пришли к мысли, что рефреш не бесполезен
MP
тема токенов не утихает который день :)
ST
Никак получается) Хорошо что у токена малый TTL, если использовать рефреш!
а можно взломать и генерить токены на стороне злоумышленника
MP
Вот тут действительно не нужно ни в базу за паролем лезть, ни в редис за токеном.
но иногда проще слазить, если база локальная.
Чем постоянно гонять от клиента джсон в базе64, да еще от него всякие хэши считать.
Чем постоянно гонять от клиента джсон в базе64, да еще от него всякие хэши считать.
ɪᴋ
Но я не считаю что это предмет спора. Это написано в RFC, если хочется на Хабре убедить кого-то что это решительно неправильно, то нужно это делать было лет 7 назад.
ɪᴋ
@strofimov1972 @mpenzin согласен. Я и сам не фанат JWT.
ɪᴋ
Экономия на спичках.
MP
Экономия на спичках.
для него вот прямо есть юзкейс - когда у вас фиг пойми какие сервисы и фиг где работают
ɪᴋ
Может что-то не понимаю, но Гугл вон простые токены генерит, а им явно полезно было бы сэкономить.
MP
и они могут вообще не знать, где-там у вас редис живет с сессиями или вообще не иметь к нему доступа.
MP
Но гемор оправдан только в этом случае - в простых случаях удобнее делать центральное сессиохранилище с быстрым доступом.
MP
Отдельный гемор возникает, если вдруг потребуется иметь возможность экспайрить токен принудительно, реньше его времени.
MP
Причем этот гемор сразу перекрывает большую часть преимуществ.
ɪᴋ
Ну вот пара JWT + refresh эту проблему тоже минимизирует получается.
MP
Ну вот пара JWT + refresh эту проблему тоже минимизирует получается.
не совсем.
Я как раз сталкивался с такой штукой - товарищи построили всякую авторизацию на жвт - все красиво модно молодежно...
и там в атрибутах указывались уровни доступа юзера по группам.
Я как раз сталкивался с такой штукой - товарищи построили всякую авторизацию на жвт - все красиво модно молодежно...
и там в атрибутах указывались уровни доступа юзера по группам.
MP
Все это было классно, пока продукт овнер не сказал "но надо чтобы юзер отрубался от группы в тот же момент, когда я нажму на баттон".
а не когда-то там через 5 минут или даже через минуту, когда у него там токен поэкспайрится.
а не когда-то там через 5 минут или даже через минуту, когда у него там токен поэкспайрится.