Так и есть
Делают либо ключ, который могут расшифровать все сервисы, куда может постучать пользователь
Но чаще делают сервис авторизации, который стоит за балансером, который сначала проверяет права, а потом перенаправляет запрос на нужный сервер

У HH второй вариант, насколько я знаю

Так, в общем, как я понял
(Без использования отслеживания сессии)
В случае сессии, если сперли токен, пользователь должен обнаружить это и изменить пароль, тем самым сбросить все сессии
В случае jwt, если рефреш токен пользователя не валидный, то есть хацкер спер и обновил его. Пользователь заходит на сайт, сервер видит, что рефреш токена нет, удаляет все токены этого пользователя и выбрасывает его на страницу авторизации. Хацкер теряет доступ
Похоже, что Jwt безопаснее

ну вот значит я правильно понял для чего эта технология, и критика ее в сравнении с классическими ключами сессий - бессмысленна

Способов что-то сделать- миллионы
И далеко не большинство из них неправильное

кстати спасибо, в копилку себе такой паттерн положу

Ты лучше матчасть почитай, а не хача из чата слушай

Фигасе самокритично

почитаю, почитаю

Славянином и не пахну лол

Хотел дошутить, но прозвучит неправильно

Если вкратце- будьте самокритичными, все люди хороши, мир доброта токены сессий

Ахахахахаха

дадада, так держать, вот тебе 🌈🦄

Вообще очень не хватает годной литературы по авторизации и аутентификации, вот чтоб по полкам разложили, токены, сессии, oauth, oauth2

О дааа

Кстати, что все таки думаете?

ну вообще хватает конечно, толко иногда там черт ногу сломит, такого напридумают

Я хочу упороться и написать нормальный аналог тому, что делает паспорт, но чтобы код и воркфлоу были читаемыми