W
Если делать короткоживущими аксесы, то засираться блэклист не будет
Size: a a a
2020 April 15
AB
типо писать в базу айдишник JWT токена если он протухает?
W
Да, можно использовать какую-нибудь кафку
W
А по-другому и никак с жвт
AB
а пользователю логиниться каждый раз как аццесс протухнет?
W
Кстати, советую почитать про жвт подробнее, рфс там. Узнаешь, что jwt - это jws или jwe при том в компакт виде
W
Рефреш токен
W
То есть делаешь аксесс 2 минуты условно, рефреш 60 дней
AB
ну так к этому и пришли ведь
AB
я ссылку кидал выше
W
Да, читал я это. Только вот хранить токены в чистом виде - плохой подход. К тому же эти фингерпринт ограничения обходятся легко.
W
Смысла вводить их нету, если рефреш спиздили и он не в блэклисте - найдут как использовать
O
народ, в class-validator можно свалидировать 1 из двух типов?
те ожидается, что проп будет number или number[]
в либе joi юзал Joi.alternatives
те ожидается, что проп будет number или number[]
в либе joi юзал Joi.alternatives
AB
Смысла вводить их нету, если рефреш спиздили и он не в блэклисте - найдут как использовать
у рефреша срок действия есть
W
Также советую подумать над jwe, если хочется хранить в токене какую-то более менее приватную инфу
W
Ну да, 60 дней будут юзать, объюзаются
AB
у рефреша срок действия есть
после нескольких попыток дропать рефреш и всё
AB
Смысла вводить их нету, если рефреш спиздили и он не в блэклисте - найдут как использовать
а как ты определишь что его надо в блеклист запихивать, не понял сути проблемы
W
А никак, в том то и дело, в блеклист ты обычно заносишь, если допустим у юзера что-то изменилось (допустим инфа о нем ты вообще можешь разлогинить пользователя полностью занеся его ид в блэклист). Или если стало очевидно, что токен был украден (в редких случаях)
W
В этом и проблема токенов, они уязвимы к краже. Остается уповать на тлс