W
Непротив если в лс?
Size: a a a
2019 November 15
R
для эксперементальных целей можно хоть на распбери запустить
полехче, тут же дети
A
Непротив если в лс?
токены слать будешь?)
W
токены слать будешь?)
А ты думал
A
я за то чтобы здесь, коллективно у нас больше опыта
S
Парни, помогите пожалуйста с асинхронностью и исключениями. В этом примере если внутри checkAndStoreFiles возникнет исключение и я его там не обработаю оно в этом тарйкетче поймается? :
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
должно
JD
Парни, помогите пожалуйста с асинхронностью и исключениями. В этом примере если внутри checkAndStoreFiles возникнет исключение и я его там не обработаю оно в этом тарйкетче поймается? :
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
да
W
Смотри, хочу токены сохранять в куки, в таком случае нужно им проставить httpOnly & secure, но суть JWT отправлять accessToken в хедере авторизации, но в таком случае я не смогу их вытягивать с куки через js, правильно? Тогда нужно отправлять accessToken и в куки, и в теле ответа, но после того, как юзер закроет вкладку токен пропадет, и нужно будет отпарвлять через куки, выглядит уже сложно. Вот, и следующее, есть такая штука как CSRF, тогда куки надо защищать CSRF token'om, как бы всё по-лучше реализовать?
A
Парни, помогите пожалуйста с асинхронностью и исключениями. В этом примере если внутри checkAndStoreFiles возникнет исключение и я его там не обработаю оно в этом тарйкетче поймается? :
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
Если только User у тебя будет иметь метод destroy и запрос выполнится без ошибки
JD
Парни, помогите пожалуйста с асинхронностью и исключениями. В этом примере если внутри checkAndStoreFiles возникнет исключение и я его там не обработаю оно в этом тарйкетче поймается? :
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
try {
const pathObj = await checkAndStoreFiles(newUser.id, files);
} catch (err) {
if (newUser) await User.destroy({ where: { id: newUser.id } });
}
Только в catch при вызове функции тоже ошибки могут быть, которые уже не ловятся
EB
Смотри, хочу токены сохранять в куки, в таком случае нужно им проставить httpOnly & secure, но суть JWT отправлять accessToken в хедере авторизации, но в таком случае я не смогу их вытягивать с куки через js, правильно? Тогда нужно отправлять accessToken и в куки, и в теле ответа, но после того, как юзер закроет вкладку токен пропадет, и нужно будет отпарвлять через куки, выглядит уже сложно. Вот, и следующее, есть такая штука как CSRF, тогда куки надо защищать CSRF token'om, как бы всё по-лучше реализовать?
а ты не пробовал на гитхабе найти готовый пример реализации? просто есть риск что ты наизобретаешь то, что будет далеко от принятых практик
W
а ты не пробовал на гитхабе найти готовый пример реализации? просто есть риск что ты наизобретаешь то, что будет далеко от принятых практик
Хочу сначала вникнуть в алгоритм, по-этому и спрашиваю тут
EB
Хочу сначала вникнуть в алгоритм, по-этому и спрашиваю тут
ну можно найти пример, почитать код и вникнуть, а потом воссоздать самому, должно быть несложно
A
Смотри, хочу токены сохранять в куки, в таком случае нужно им проставить httpOnly & secure, но суть JWT отправлять accessToken в хедере авторизации, но в таком случае я не смогу их вытягивать с куки через js, правильно? Тогда нужно отправлять accessToken и в куки, и в теле ответа, но после того, как юзер закроет вкладку токен пропадет, и нужно будет отпарвлять через куки, выглядит уже сложно. Вот, и следующее, есть такая штука как CSRF, тогда куки надо защищать CSRF token'om, как бы всё по-лучше реализовать?
> Смотри, хочу токены сохранять в куки, в таком случае нужно им проставить httpOnly & secure
да. secure значит слать куки только по https
> но суть JWT отправлять accessToken в хедере авторизации
нет, суть jwt не в этом, ты можешь слать токен как угодно
> но в таком случае я не смогу их вытягивать с куки через js, правильно?
ну для того ты и сетал httpOnly флаг
> Тогда нужно отправлять accessToken и в куки, и в теле ответа
Нет, в теле не нужно (ни в коем случае)
> но после того, как юзер закроет вкладку токен пропадет,
куки не пропадают после закрытия кладки, они пропадают после итечения срока указаного в свойстве куки
да. secure значит слать куки только по https
> но суть JWT отправлять accessToken в хедере авторизации
нет, суть jwt не в этом, ты можешь слать токен как угодно
> но в таком случае я не смогу их вытягивать с куки через js, правильно?
ну для того ты и сетал httpOnly флаг
> Тогда нужно отправлять accessToken и в куки, и в теле ответа
Нет, в теле не нужно (ни в коем случае)
> но после того, как юзер закроет вкладку токен пропадет,
куки не пропадают после закрытия кладки, они пропадают после итечения срока указаного в свойстве куки
EB
> куки не пропадают после закрытия кладки, они пропадают после итечения срока указаного в свойстве куки
если срок жизни не указан - они живут сессию (не помню как сессия считается, до закрытия вкладки или до закрытия браузера, вроде до закрытия вкладки)
если срок жизни не указан - они живут сессию (не помню как сессия считается, до закрытия вкладки или до закрытия браузера, вроде до закрытия вкладки)
A
> есть такая штука как CSRF, тогда куки надо защищать CSRF token'om
в этой теме не силен, но вроде как не надо в 2019, ведь есть заголовки same-site
в этой теме не силен, но вроде как не надо в 2019, ведь есть заголовки same-site
A
> куки не пропадают после закрытия кладки, они пропадают после итечения срока указаного в свойстве куки
если срок жизни не указан - они живут сессию (не помню как сессия считается, до закрытия вкладки или до закрытия браузера, вроде до закрытия вкладки)
если срок жизни не указан - они живут сессию (не помню как сессия считается, до закрытия вкладки или до закрытия браузера, вроде до закрытия вкладки)
точняк, спасибо. Ну что делать понятно)
W
> Смотри, хочу токены сохранять в куки, в таком случае нужно им проставить httpOnly & secure
да. secure значит слать куки только по https
> но суть JWT отправлять accessToken в хедере авторизации
нет, суть jwt не в этом, ты можешь слать токен как угодно
> но в таком случае я не смогу их вытягивать с куки через js, правильно?
ну для того ты и сетал httpOnly флаг
> Тогда нужно отправлять accessToken и в куки, и в теле ответа
Нет, в теле не нужно (ни в коем случае)
> но после того, как юзер закроет вкладку токен пропадет,
куки не пропадают после закрытия кладки, они пропадают после итечения срока указаного в свойстве куки
да. secure значит слать куки только по https
> но суть JWT отправлять accessToken в хедере авторизации
нет, суть jwt не в этом, ты можешь слать токен как угодно
> но в таком случае я не смогу их вытягивать с куки через js, правильно?
ну для того ты и сетал httpOnly флаг
> Тогда нужно отправлять accessToken и в куки, и в теле ответа
Нет, в теле не нужно (ни в коем случае)
> но после того, как юзер закроет вкладку токен пропадет,
куки не пропадают после закрытия кладки, они пропадают после итечения срока указаного в свойстве куки
ну я имел ввиду, если отправлять в теле запроса токен, то он будет сторится пока открыта вкладка