SM
у вас миллион пользователей. и тысяча украденных токенов. угадайте, что выгоднее, сверить токен с блеклистом, или пароль с хешем?
проще грохнуть всем сессии
Size: a a a
2019 November 07
AK
проще грохнуть всем сессии
маньяк какой-то. все тебе грохать надо
AK
авторизация и проверка в блеклисте делается локально, ни в какую базу лазить не надо
SM
ты понимаешь что проверка на наличие в блеклисте = проверке наличия сессии?
AK
блеклист настолько мал что его можно легко кэшировать
SM
только кроме этого юзая jwt ты еще занимаешься шифрованием
AK
и проверять обновления раз в час например
SM
в банк тебя не пустят
AK
только кроме этого юзая jwt ты еще занимаешься шифрованием
у тебя весь траффик через шифрование проходит, если чё
SM
ну, а ты еще jwt шифруешь)))
AK
не путай. jwt раскодируется и сверяется подпись
KS
у тебя весь траффик через шифрование проходит, если чё
не, тут ты не прав, jwt отдельно, ssl отдельно.
И
А што парни редис нынче не в моде для хранения блеклиста ключей со сроком хранения? (Чтобы потом токен автоматом системой отклонялся тк истёкший)
SM
не путай. jwt раскодируется и сверяется подпись
и что это никаких вычеслительных мощностей не требует?
AK
не, тут ты не прав, jwt отдельно, ssl отдельно.
я к тому, что накладные расходы не сильно увеличиваются
SM
шифрование очень прожорливая операция
SM
в отличии от хэширования
AK
и что это никаких вычеслительных мощностей не требует?
меньше, чем не коннект к базе и шифровку соединения