F
Штука интересная, как по мне
Size: a a a
2021 May 21
F
Не знаю почему не популярен
IK
я за webauthn
IK
который всё актуальнее, чем больше у нас биометрии
F
Не слышал, изучу
IK
я везде где можно авторизовываюсь аппаратным ключом
ИР
Вроде в статусе expiremental, хотя все кроме IE браузеры уже поддерживают
IK
да, все еще в experimental
VK
Казалось бы, на каждом ресурсе нужна аутентификация
Но нет каких-то хороших рецептов: вот, берите это, это и живите с миром😁
Или есть?
Но нет каких-то хороших рецептов: вот, берите это, это и живите с миром😁
Или есть?
IK
потому что у всех разные задачи
VK
Почему у всех?
ИР
Я знаю что Фейсбук реализует через сессии
А как Гугл авторизирует?
А как Гугл авторизирует?
ИР
SingleSignOn какой-то модифицированный ?
IK
параноидально
VK
По моим ощущениям у большинства требования очень похожи, хотя бы в тех местах, которые влияют на механизм
Вроде это очень базовая вещь, но мало кто знает как ее правильно приготовить😁
Вроде это очень базовая вещь, но мало кто знает как ее правильно приготовить😁
VK
Те же jwt, на сколько я понял, нужны только для подписи запросов между разными серверами / к серверу на другом домене
Но всеее на них пилят аутентификацию😁
Но всеее на них пилят аутентификацию😁
EN
А зачем рефреш_токену ограничение по времени жизни ? Почему он не может быть просто одноразовым и бессрочным ?
В данном ресурсе приводится такое:
В данном ресурсе приводится такое:
Вопрос зачем refresh token'y срок жизни, если он обновляется каждый раз при обновлении access token'a ? Это сделано на случай, если юзер будет в офлайне более 60 дней, тогда придется заново вбить логин/пароль.Т.е. складывается ощущение, что только для того чтобы по истечении срока жизни рефреша разлогинить пользователя. Только зачем это делать ? Пусть имеет возможность воспользоваться им бессрочно, это разве добавит какие-то проблемы ?
VK
Конечно добавляет
Если его украли - вы дали хакеру навечно доступ к системе
Если его украли - вы дали хакеру навечно доступ к системе
EN
Почему же? В случае, когда у рефреша стоит срок жизни (например 60 дней), то хакер также имеет навечный доступ к системе (рассматриваем случай, когда нет механизма принудительного отзыва выпущенных токенов).
Единственное, что меняется в его поведении в случае работы с токеном со сроком 60 дней и бессрочным токеном, это то, что он, в случае отсутствия взаимодействий за эти 60 дней, обязательно должен использовать украденный рефреш, иначе он сгорит.
Единственное, что меняется в его поведении в случае работы с токеном со сроком 60 дней и бессрочным токеном, это то, что он, в случае отсутствия взаимодействий за эти 60 дней, обязательно должен использовать украденный рефреш, иначе он сгорит.
2021 May 22
DZ
Я правильно понимаю, что в фп подходе обычно создают состояние, к которому применяют функции, чтобы изменить его, а не замыкают состояние в функции, которое возвращает объект с методами?