SN
И получаем сессии, лол
этогромко сказано
Size: a a a
2019 November 17
SS
Сессии и токены к ним, хранящиеся не в куках
а какая особо разница то?)
AA
а какая особо разница то?)
Ну, нет токена с открытой инфой о юзере, можно банить
PS
Savenets Nikolay
этогромко сказано
Суть jwt в stateless. Если в базу лезть, то ты теряешь все плюсы jwt, но получаешь нагрузку по трафику, по процессору, по сложности кода.
G
а какие альтернативы предлагаете?
я при получении JWT делаю запись в базу токен ип адрес юзера из заголовка и бан фальзе, когда юзер логоут нажимает, тогда бан ставится Y , но во всех методах проверка на бан делается окромя самой сверки токена модулем
SS
Ну, нет токена с открытой инфой о юзере, можно банить
а кто обязывает дофига открытой инфы туда класть вообще?
SS
я при получении JWT делаю запись в базу токен ип адрес юзера из заголовка и бан фальзе, когда юзер логоут нажимает, тогда бан ставится Y , но во всех методах проверка на бан делается окромя самой сверки токена модулем
а зачем адрес в базу? Если не совпадает то разлогинивать типа или что?
G
ну по ип защита, у многих сайтов я смотрю есть , вот тоже сделал
G
сменил ип разлогинило
G
ну и статистика посещений в личный кабинет
SS
сменил ип разлогинило
стрёмная шняга как по мне. Вот юзер вышел из квартиры, адрес сменился, всё хана, его разлогинило. Я бы обматерился из-за подобной хрени и не стал больше пользоваться, например))
SS
стрёмная шняга как по мне. Вот юзер вышел из квартиры, адрес сменился, всё хана, его разлогинило. Я бы обматерился из-за подобной хрени и не стал больше пользоваться, например))
в смысле от Wi-Fi отрубился
G
ну в процессе пока юзер еще не вышел и токен не истек если его стырили , то могут воспользоваться
G
в смысле от Wi-Fi отрубился
вифи та причем, ип дается в заголовках внешний
PS
сменил ип разлогинило
Неудобно при динамических айпи
SS
вифи та причем, ип дается в заголовках внешний
о чьём IP речь то? Кем IP даётся?
G
Неудобно при динамических айпи
ну зависит от требований безопасности, так та можно и без токенов тупо сверять ид который хранить в локалстореж ))
G
я читал в репе jwt они сказали бан токена не ожидается еще долго
SS
ну зависит от требований безопасности, так та можно и без токенов тупо сверять ид который хранить в локалстореж ))
разумнее скорее по резкой смене геолокации разлогинивать тогда уж. Ещё раз, пример:
1) Сидел дома подключённый к Wi-Fi, залогинился. Адрес один.
2) Вышел из дома, подключился к мобильной сети. Адрес уже другой.
И норм при таких условиях разлогинивать?))
1) Сидел дома подключённый к Wi-Fi, залогинился. Адрес один.
2) Вышел из дома, подключился к мобильной сети. Адрес уже другой.
И норм при таких условиях разлогинивать?))
PS
я читал в репе jwt они сказали бан токена не ожидается еще долго
Да никогда не сделают.