В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Node.js — русскоговорящее сообщество

5579 membersпожаловаться на группу
2019 November 13

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Ð
нет, я про куки, сессии и куки и токены - разные вещи, все эти рефреши - одна сессия с изменяющимся ключом (в куке или в локале - не важно)
рефреш токен- это просто токен, по которому ты можешь понять, что это за пользователь
Но при запросе access токена для какого-то действия ты прямо в запросе можешь указать скоуп, который требуется
источник
23:27пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Если в токене доступа нет скоупа, которому принадлежит действие- нужно запрашивать токен с повышенными правами
источник
23:28пожаловаться

Ð

Ð in Node.js — русскоговорящее сообщество
Таймураз Кайтмазов
рефреш токен- это просто токен, по которому ты можешь понять, что это за пользователь
Но при запросе access токена для какого-то действия ты прямо в запросе можешь указать скоуп, который требуется
ну это и сервер может делать сам, исходя из айди юзера в сессии и требуемых прав на запрос, я пока еще не врубился зачем это должно быть частью ключей сессии
источник
23:28пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Там миллион и одна вариация реализации, но трушной считается только одна, я сам до конца не запомнил весь протокол
источник
23:29пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Ð
ну это и сервер может делать сам, исходя из айди юзера в сессии и требуемых прав на запрос, я пока еще не врубился зачем это должно быть частью ключей сессии
Разграничение прав
Допустим, чтобы текущий ключ мог только менять статус пользователя, но не менял пароль
Если нужно поменять пароль- введи-ка текущий еще раз
источник
23:30пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
А там, пока действует ключ- хоть упорись со сменой пароля
источник
23:30пожаловаться

Ð

Ð in Node.js — русскоговорящее сообщество
Таймураз Кайтмазов
Разграничение прав
Допустим, чтобы текущий ключ мог только менять статус пользователя, но не менял пароль
Если нужно поменять пароль- введи-ка текущий еще раз
что мешает эти текущие права хранить тупо в сессии, как обычно?
источник
23:30пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Ð
что мешает эти текущие права хранить тупо в сессии, как обычно?
Протокол?
источник
23:30пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Сорян, ты спрашиваешь не что, а зачем
источник
23:31пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Сек
источник
23:31пожаловаться

Ð

Ð in Node.js — русскоговорящее сообщество
протокол? ну вот ты залогинился через метод, который не позволяет тебе менять пароль, например в мобильном приложении. И все, хоть ты убейся, у тебя нет в сессии такого пермишена
источник
23:31пожаловаться

С

Сергей in Node.js — русскоговорящее сообщество
Ghefest
Не, брейншторминг конечно крутой, но все смоделированные ситуации эти схематично были разложены на канале почему jwt это плохо, и в статьях примеры тоже были. Разве нет? Или вы просто пытаетесь эти доводы разжевать людям которые только посмотрели первый раз видео о jwt от "Js ниндзя"?
Да, для таких как я. пытаюсь разобраться
источник
23:31пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Ð
что мешает эти текущие права хранить тупо в сессии, как обычно?
Защита
В токене обычно бывает зашита нужная информация
Если у тебя распределенная система- лучше часть информации в зашифрованном виде в токене хранить, которая к токену и относится
источник
23:32пожаловаться

Ð

Ð in Node.js — русскоговорящее сообщество
в какой момент появляется ограничение у рефреш токена? я правда не понимаю
источник
23:32пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Ð
в какой момент появляется ограничение у рефреш токена? я правда не понимаю
Я давно не упарывался по этому протоколу, года два назад бы легко ответил
источник
23:33пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Аж стыдно немного
Ну ладно
источник
23:33пожаловаться

Ð

Ð in Node.js — русскоговорящее сообщество
Таймураз Кайтмазов
Защита
В токене обычно бывает зашита нужная информация
Если у тебя распределенная система- лучше часть информации в зашифрованном виде в токене хранить, которая к токену и относится
то есть ты предлагаешь использовать ключ авторизации как хранилище сессии между не связанными шардами распределенной системы?
источник
23:33пожаловаться

Ð

Ð in Node.js — русскоговорящее сообщество
занятно конечно, надо подумать
источник
23:33пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Ð
то есть ты предлагаешь использовать ключ авторизации как хранилище сессии между не связанными шардами распределенной системы?
Как вариант
Но истинность высказывания не гарантирую
источник
23:34пожаловаться

ТК

Таймураз Кайтмазов in Node.js — русскоговорящее сообщество
Но это вполне себе вариант, на самом деле
Главное- не жвт
источник
23:34пожаловаться