IE
Ибо тырить sid другого юзера нет смысла, ибо каждая сессия привязана к userAgent
интересное решение
Size: a a a
2019 October 25
AM
Банальное скорее
V
Ибо тырить sid другого юзера нет смысла, ибо каждая сессия привязана к userAgent
а если браузер обновился? или это короткие сессии?
IE
банальное это когда копируешь session_id и подставляешь в другом браузере и ты авторизован, а так безопаснее будет
AM
Victor
а если браузер обновился? или это короткие сессии?
Сессии бесконечные, браузер обновился и юзер агент не соответсвует - будь добр, иди регайся
V
Сессии бесконечные, браузер обновился и юзер агент не соответсвует - будь добр, иди регайся
оч юзерфрендли)
AM
в реальных условиях это не юз кейс
go
И правильно сделают, у меня самопис сессии SID юзеру в боди шлют и всеравно это в разы безопаснее JWT
верифицирую токен -> делаю запрос к дб с айди юзера -> сравниваю токен в дб и присланный токен -> профит (у меня юзер должен быть авторизирован только с одного устройство)
go
а и юзерагент чекаю
AM
и всё же, jwt не безопасное говно
go
можно пример атаки?
AM
как ты забанишь юзера, который ведёт себя плохо?
go
поставлю ему флаг banned в дб
倫岡
а в чем отличие от сессии?
AM
при каждом запросе чекать в бд banned flag?)
AM
Поздравляю, ты переизобрёл сессии, но с мозгоёбством в виде длинных и коротких токенов
go
Поздравляю, ты переизобрёл сессии, но с мозгоёбством в виде длинных и коротких токенов
мне нужен jwt для нативных мобильных приложений
AM
у меня нативное мобильное приложение
AM
и из-за этого я сделал самопис сессии)
go
мне нравятся извращения