SM
в четвертых в базу все равно придется лазить, чтобы проверить валидность токена и наличие сессии
Size: a a a
2019 November 07
KS
ну так и есть
почитай статью, которую привёл @a007mr. а вообще ничего не читай на фиг. нра сессии - юзай их. мне нра jwt, я буду юзать его. вот и всё.
AK
во первых это не безопасно, во вторых пытаясь сделать это безопасным ты придешь к сессиям
во-первых это безопасно.
AK
в третьих оверхед по трафику
вопрос в том, насколько
SM
да? что делать будешь при краже токена?
AK
в четвертых в базу все равно придется лазить, чтобы проверить валидность токена и наличие сессии
для валидации не надо лазить в базу
SM
как проверишь что токен не украден?
AK
как проверишь что токен не украден?
как проверишь, что пароль не украден?
AK
да? что делать будешь при краже токена?
токены делаются коротко-живущими
KS
для валидации не надо лазить в базу
не надо ничего объяснять людям, которые смотрят на jwt, как на аналог сессий, а не как на другой подход к авторизации.
SM
суть в том, что если уведут сессию, то я еще просто грохну, а токен еще некоторое время будет жить и его обладатель за это время может наделать делов
AK
суть в том, что если уведут сессию, то я еще просто грохну, а токен еще некоторое время будет жить и его обладатель за это время может наделать делов
это смешно. Никто не грохает сессии
SM
не надо ничего объяснять людям, которые смотрят на jwt, как на аналог сессий, а не как на другой подход к авторизации.
так статья которая тебе так нравится как раз и пропагандирует юзать jwt как сессии)))
AK
ну и токены можно блеклистить
SM
то есть в базу при каждом запросе все таки придется лазить для проверки токена?
NB
Привет всем, кто нибудь имел опыт с Edge.js (Template Engine), надо чтобы закешировать compile, чтобы не компилировать template каждый раз
KS
так статья которая тебе так нравится как раз и пропагандирует юзать jwt как сессии)))
даже близко не валялось. бд с юзерами мы юзаем так и так. в случае jwt не нужна доп база сессий. плюс два типа ключей, ограничение по эндпоинтам, общий дроп везде при краже...
AK
то есть в базу при каждом запросе все таки придется лазить для проверки токена?
у вас миллион пользователей. и тысяча украденных токенов. угадайте, что выгоднее, сверить токен с блеклистом, или пароль с хешем?
SM
даже близко не валялось. бд с юзерами мы юзаем так и так. в случае jwt не нужна доп база сессий. плюс два типа ключей, ограничение по эндпоинтам, общий дроп везде при краже...
эт чё такое?