VK
То, что хакера можно разлогинить, не убирает проблему с тем, что он получит ваши учетные данные
одного раза достаточно
одного раза достаточно
Size: a a a
2021 May 21
F
а как эта проблема решается сессиями?
VK
Просто так не решают
Если токен или сессию уже удалось получить - это огромная дыра и проблема сама по себе
Если токен или сессию уже удалось получить - это огромная дыра и проблема сама по себе
F
ну я имею ввиду, что у нас нет никакой возможности разглогинить хакера моментально, если он украл токен сессии или jwt, разве что уведомления самому юзеру слать, что в его акк залогинились
VK
Потому все и шлют уведомления)
IK
на самом деле мы в токен/сессию зашиваем фингерпринт и если он существенно отличается - отказываем в авторизации
F
а почему мы не можем хранить свои аксес и рефреш токены отдельно на каждом устройстве, это же решит проблему
IK
и как вы поймете какой рефреш токен отзывать?
IK
точнее не так
IK
если вы не храните рефреши на сервере, то у вас все проблемы jwt )
F
Ну на каком устройстве запрос с рефрешем будет не верный, на том и отозвем
F
Создаётся впечатление что jwt заоверинжинирен
F
И проще использовать сессии
IK
Всё так
IK
у jwt есть небольшое множество очень специфических юзкейсов
IK
но его любят пихать везде )
IK
это как монга )
F
Что думаете о secure remote password?
IK
ничего не думаю
F
Жаль(