Телеграмм чат группы gogolang страница 25621

их штук 9

12:19пожаловаться #1

https://github.com/dgrijalva/jwt-go это единственный, который рекомендуют безопасники

12:19пожаловаться #2

все остальное - на свой страх и риск

12:19пожаловаться #3

а в самом токене userId выглядит как строка или как число?

12:21пожаловаться #4

скажите, пожалуйста, а откуда такая информация?

12:23пожаловаться #5

ну, про рекомендацию

12:23пожаловаться #6

Alexander Emelin in Go-go!

https://github.com/cristalhq/jwt - вот еще хороший пакет

12:23пожаловаться #7

Savely Krasovsky in Go-go!

стандарт простой, обосраться сложно, по факту уязвимостей может быть всего две:
принимать algo: none и неправильно работать с полем exp

12:24пожаловаться #8

от самих безопасников из нескольких больших контор, с любой другой либой приложение просто не пройдет аудит

https://github.com/dgrijalva/jwt-go/issues/428

12:24пожаловаться #9

Alexander Emelin in Go-go!

12:24пожаловаться #10

ага, а ещё там нет валидации клэймов iat и подобных

12:25пожаловаться #11

видать, местячковые безопасники такие безопасники

12:25пожаловаться #12

ну как бы остальные пакеты никто даже всерьез и не проверял судя по тому, что там такого не нарыли

12:26пожаловаться #13

Ivan Kozlov in Go-go!

Число

12:26пожаловаться #14

Savely Krasovsky in Go-go!

как же нет?

12:27пожаловаться #15

ну вот MapClaims просто из жсона значения берёт как есть и в interface{} пихает

https://github.com/dgrijalva/jwt-go/blob/dc14462fd58732591c7fa58cc8496d6824316a82/map_claims.go#L35

12:27пожаловаться #16

Savely Krasovsky in Go-go!

сонная википедия... in Go-go!

12:27пожаловаться #17

оно еще и тянется везде, из-за чего линтеры проверяющие уязвимые зависимости ругаются

сонная википедия... in Go-go!

12:27пожаловаться #18

и никто не мейнтейнит это

12:28пожаловаться #19

о, и правда. я ориентировался на сравнение отсюда: https://jwt.io/ (внизу)