В
Так и сделано, это я штатным и назвал) вопрос как бы typeormcli скормить то что тут получается, что бы это было единственным местом
Size: a a a
2020 December 12
🏡K
Енвайрмент сервака же и есть то место
🏡K
Локально енв файлы
D
Павел Варенцов
привет )
почему нельзя в том же jsonb? или вы про другое тут? )
почему нельзя в том же jsonb? или вы про другое тут? )
Можно, я так и делаю. Но, мне кажется, у Монги побольше возможностей для работы с json
D
Я в свой jwt бвиваю время последнего захода юзера, по нему проверяю зашёл ли кто еше. Но не знаю насколько это криво.
Не очень тебя понял. У jwt ж маленькое время жизни должно быть. Вот делаешь ты запрос на сервер, а токен уже истёк и не валиден - в ответе 401-й код. Как токен обновить?
ПВ
Можно, я так и делаю. Но, мне кажется, у Монги побольше возможностей для работы с json
всё, понял )
🏡K
Не очень тебя понял. У jwt ж маленькое время жизни должно быть. Вот делаешь ты запрос на сервер, а токен уже истёк и не валиден - в ответе 401-й код. Как токен обновить?
Вот тут тексты всякие есть @why_jwt_is_bad
D
Ну работа с jwt частенько реально похожа на велосипедостроение, но если рефреш хранить в куках, а access - в js-переменной, то проблем вообще нет
D
Куки httponly secure
D
Вот это так вообще бред, на самом деле.
D
"если пользователь уходит в оффлайн на пару минут, его выкинет" - это почему ж? access-протухнет, но при этом фронт сделает запрос с refresh-токеном на получение новой пары - и получит её, потому что refresh-токен валиден. Ничего его не выкинет
D
Да, там написано дальше, что будет юзать refresh - окей. Отозвать его не проблема, просто удалив его из БД и заблокировав юзера
r
Ну работа с jwt частенько реально похожа на велосипедостроение, но если рефреш хранить в куках, а access - в js-переменной, то проблем вообще нет
Спасибо, ты поставил точку в многовековом споре, который захлеснул весь мир и все паблики и вывел единственный правильный вариант, срочно донеси всем свою мысль, что бы люди перестали спорить и начали строить поистине безопасные приложения
D
readme.md
Спасибо, ты поставил точку в многовековом споре, который захлеснул весь мир и все паблики и вывел единственный правильный вариант, срочно донеси всем свою мысль, что бы люди перестали спорить и начали строить поистине безопасные приложения
Икона с моим ликом уже стоит возле твоей кровати?
r
Икона с моим ликом уже стоит возле твоей кровати?
Я думаю над этим
AZ
Нелюбитель jwt ))) а какая есть надежная (по сравнению с jwt) и кроссдоменная (хотя бы в рамках поддоменов) альтернатива, которая помимо обычного "браузерного" обращения к апи хорошо поддерживает и валидирует запросы через приложение (мобильное например)
В
Нелюбитель jwt ))) а какая есть надежная (по сравнению с jwt) и кроссдоменная (хотя бы в рамках поддоменов) альтернатива, которая помимо обычного "браузерного" обращения к апи хорошо поддерживает и валидирует запросы через приложение (мобильное например)
попахивает изобретением jwt)
AZ
))) не, изобретать как раз лениво, тем более, что суть то jwt в том, чтобы не долбить постоянно хранилище (база/кеш/etc) для проверки юзера.
А по сути если не полагаться на токен в запросе и все-равно проверять данные юзера, то jwt просто становится переусложненной сессией )
Вот и думаю, а есть ли альтернативы
А по сути если не полагаться на токен в запросе и все-равно проверять данные юзера, то jwt просто становится переусложненной сессией )
Вот и думаю, а есть ли альтернативы
AZ
С учетом вот вышесказанного, т.к. эмулировать браузерное поведение в приложении для работы сессий тоже альтернативка так себе )))
KW
Кто работал с Prisma, подскажите, пожалуйста, как задать в модели массив со значением в sql записи?