DV
Я уже выше упоминал сессии
Size: a a a
2020 January 08
DV
Самые обыкновенные, изобретенные много лет назад
M
какие сессии в rest api?
M
сторонний сервис например
DV
какие сессии в rest api?
А у тебя руки отвалятся поднять ноду и взять тупейший passport.js?
НБ
Вот ещё один замечательнейший способ:
https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-subrequest-authentication/
https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-subrequest-authentication/
DV
сторонний сервис например
Аутентификация на стороннем сервисе либо твоя проблема, если за угон токена тебя забанят, либо проблема того самого сервиса
M
за угон чего?🤤
A
за угон чего?🤤
будешь токен Госуслуг в локал сторадже хранить, пизды дадут потом
DV
за угон чего?🤤
Например, дадата какая-нибудь предоставляет рест апи, но при этом категорически запрещает хранить ключи на клиенте под угрозой вечного бана
DV
И это не единичный случай. Либо у сервиса есть своя аутентификация через OAuth, например, либо они запрещают хранить приватные токены на клиенте
M
ты сейчас рассуждаешь о протоколе или о способе хранения ключа?
DV
ты сейчас рассуждаешь о протоколе или о способе хранения ключа?
JWT не предоставляет вообще никаких требований по хранению ключей и сам по себе не предоставляет никаких API для этих целей, поэтому любой срач об аутентификации с его помощью складывается либо из требований конкретного сервиса, либо из вопроса, где хранить токен
DV
Сам протокол не требует обсуждения в контексте фронтенда и JS вообще, если ты не пишешь свою реализацию
M
тогда в чем смысл хейта jwt.. ну типа не нравится храни в строке
DV
тогда в чем смысл хейта jwt.. ну типа не нравится храни в строке
Хейт в том, что место JWT не на клиенте, кроме очень специфичных случаев и уж тем более он не должен использоваться для аутентификации, потому что разработан вообще не для этого, а для подписи сообщений
M
Например, дадата какая-нибудь предоставляет рест апи, но при этом категорически запрещает хранить ключи на клиенте под угрозой вечного бана
можно передавать ключ при загрузке страницы и не хранить его в localstorsge🤔
DV
можно передавать ключ при загрузке страницы и не хранить его в localstorsge🤔
Можно, но тогда тебе придётся каждый раз аутентифицировать клиента
DV
Толку от таких костылей
