DP
Так же использую
Size: a a a
2021 June 12
S
ребят, дайте мыслей по поводу JWT.
чтобы не разлогинивать пользователя по истечении рефреш-токена, надо перевыпускать его, верно?
в таком случае, надо при рефреше проверять expire рефреш-токена и, если он близок к now(), отзывать старый токен и выдавать юзеру новую пару access-refresh, верно?
кто-то так делал? какую временную дельту лучше всего установить для этой проверки?
чтобы не разлогинивать пользователя по истечении рефреш-токена, надо перевыпускать его, верно?
в таком случае, надо при рефреше проверять expire рефреш-токена и, если он близок к now(), отзывать старый токен и выдавать юзеру новую пару access-refresh, верно?
кто-то так делал? какую временную дельту лучше всего установить для этой проверки?
АБ
тут можно посмотреть интересные примеры
y
Пример с дто из реквеста оттуда?
y
Просто как по мне getDto, допустим, только если мы этот метод интерпретируем как фабричный метод) ну и переименовать как createDto()
АБ
y
Okey, почитаю
АБ
реквест это обьект
АБ
в первую очередь
y
Тут уже реально подходить командно к таким вопросам
y
На вкус и цвет
АБ
так до да
S
никто не работает с jwt? :(
DC
Когда у меня истекает access token, то я все равно генерю новую пару access-refresh и присылаю. То есть если access token стоит на 2 минуты, то каждые 2 минуты я перегенериваю пару access-refresh
S
не отзывая при этом старый рефреш-токен? это выглядит очень небезопасно.
но если в таком варианте отзывать рефреши, то придется их все хранить где-то в быстром дэни-листе, а это очень большой объем.
но если в таком варианте отзывать рефреши, то придется их все хранить где-то в быстром дэни-листе, а это очень большой объем.
DC
Отзывая конечно
S
а как хранишь отозванные? в редисе?
DC
Я в базе храню. Что бы не плодить записи, я просто в базе делаю апдейт и все