PS
кейлоггер, банально подсмотреть
от этого поможет двухфакторка. мы рассматриваем проблему с jwt
Size: a a a
2019 November 13
Ð
как хакер добрался до токенов?
PS
Ну, 15 минут пройдёт тебе нужно будет рефрешнуть, что получить новые, и паралельно юзер захочет получить новую пару, но тут ему приходит ответ с сервера что ео рефреш токен не валиден и ему прийдёться залогиниться что бы получить новую пару. Если у тебя несколько девайсов можно давать айди логина так сказать, и если хакер упёр токены с компа, то просто удалять все рефреш токены этого юзера, который заходит аторизовался первый раз с компа(к примеру айди 1) и выпустить новый рефреш токен, который будет только у этого юзера
ну и в чем тогда отличие от сессий? список активных сессий тоже хранится на сервере и можно их прибивать в случае чего
G
Не, брейншторминг конечно крутой, но все смоделированные ситуации эти схематично были разложены на канале почему jwt это плохо, и в статьях примеры тоже были. Разве нет? Или вы просто пытаетесь эти доводы разжевать людям которые только посмотрели первый раз видео о jwt от "Js ниндзя"?
PS
Не, брейншторминг конечно крутой, но все смоделированные ситуации эти схематично были разложены на канале почему jwt это плохо, и в статьях примеры тоже были. Разве нет? Или вы просто пытаетесь эти доводы разжевать людям которые только посмотрели первый раз видео о jwt от "Js ниндзя"?
я вообще вот зашел в англ вики на страницу про JWT. и там написано, что его используют в качестве сессий и хранят в local storage
ТК
ну и в чем тогда отличие от сессий? список активных сессий тоже хранится на сервере и можно их прибивать в случае чего
По ключу определяется уровень прав, с которыми выдавался этот ключ, что именно он позволяет делать от имени пользователя
W
Не, брейншторминг конечно крутой, но все смоделированные ситуации эти схематично были разложены на канале почему jwt это плохо, и в статьях примеры тоже были. Разве нет? Или вы просто пытаетесь эти доводы разжевать людям которые только посмотрели первый раз видео о jwt от "Js ниндзя"?
Не первый раз, не надо
ТК
Ну и подобное сохранение ключа гарантирует (со сроком истечения), что если кто-то украдет access token- он его сильно поюзать не сможет
Ð
По ключу определяется уровень прав, с которыми выдавался этот ключ, что именно он позволяет делать от имени пользователя
уровень прав определяется клиентом? а на сервере?
ТК
Ð
уровень прав определяется клиентом? а на сервере?
Сервер при запросе с клиента ключа выдает ему ключ с тем уровнем прав, которые были запрошены
PS
Ð
уровень прав определяется клиентом? а на сервере?
на сервере
Ð
ну так и в обычных куках тоже
ТК
Ð
ну так и в обычных куках тоже
Куки и ключи- разные вещи
ТК
В куках можно сторить ключи
Ð
обычные я имею в виду без рефреша
PS
Куки и ключи- разные вещи
он про сессии
ТК
он про сессии
Сессией можно назвать все что угодно
Будет правильнее всего сразу сказать куки сессии
Будет правильнее всего сразу сказать куки сессии
ТК
session cookies
ТК
Но и их можно сделать по-разному
Ð
нет, я про куки, сессии и куки и токены - разные вещи, все эти рефреши - одна сессия с изменяющимся ключом (в куке или в локале - не важно)