MV
обычно с такими проблемами не сталкивался на уровне кода)
мне вообще попалось так что бывший сотрудник дедосил апишку
мне вообще попалось так что бывший сотрудник дедосил апишку
Size: a a a
2020 February 18
KD
jwt токен - тоже результат хеш функции, или тоже хеш :)
MV
вот это была реально проблема
ИК
я не про хеш, я в целом (ну допустим jwt токен)
jwt в целом довольно дырявые, тут надо рефреш токен, обновлять его и тд и тп, естественно что в токен ТОЛЬКО id пользователя добавляется, толку от этого нет
ИК
но я видел странные вещи, где в токен пихали чуть ли не ACL
MV
jwt в целом довольно дырявые, тут надо рефреш токен, обновлять его и тд и тп, естественно что в токен ТОЛЬКО id пользователя добавляется, толку от этого нет
я когда-то немного ресёрчил - верное но мудрёное решение - подписывать каждый запрос, я такое в банковских апишках видел
λР
Да, хранится вместе с хэшированным паролем в сгенерированной строке
угу, батарейки включены
ИК
я когда-то немного ресёрчил - верное но мудрёное решение - подписывать каждый запрос, я такое в банковских апишках видел
это надо там где надо
λР
соль-не соль, но если всё это гонять по http (не https), то все соли до задници - а это опять инфраструктурный вопрос)
использовать http в продакшене это суицид.
GS
но я видел странные вещи, где в токен пихали чуть ли не ACL
какая разница, только id или id+права подписывать?
λР
если это открытый ресурс, конечно
MV
использовать http в продакшене это суицид.
ты с индусами работала) ?
λР
ты с индусами работала) ?
кажись, пронесло
MV
я не обобщаю, но мне попались именно такие
ИК
какая разница, только id или id+права подписывать?
вероятно, в том, что права и поменяться могут, а в токене неактуальные, и вообще это размер токена и абсолютно точно оверхед, это надо доставать запросом с токеном, но никак не из токена
MV
кажись, пронесло
о, к стати - у них было интересное решение - у них физически БД и сервер лежали на одном сервере а сервер под ssh, по другому не зайдёшь)
MV
было жутко не удобно в них долбится, но как ни как, секьюрность, все дела)
λР
о, к стати - у них было интересное решение - у них физически БД и сервер лежали на одном сервере а сервер под ssh, по другому не зайдёшь)
wow
MV
мы придрочились из ноды подымать ssh клиент какой-то либкой)
λР
т.е. любой, кому надо поработать с сервером может качать базу к себе?