Y💜
ну jwt для авторизации. А в базе что бы показать какой ты именно пользователь нужно предоставить её jwt
В чем проблема использовать сессии?
Size: a a a
2020 February 26
GS
ну jwt для авторизации. А в базе что бы показать какой ты именно пользователь нужно предоставить её jwt
> А в базе что бы показать какой ты именно пользователь нужно предоставить её jwt
Вот это не очень понятно, что за действие и зачем
Вот это не очень понятно, что за действие и зачем
MS
> А в базе что бы показать какой ты именно пользователь нужно предоставить её jwt
Вот это не очень понятно, что за действие и зачем
Вот это не очень понятно, что за действие и зачем
при запросе надо предоставить токен, где будет данные кто ты (типа админ или пользователь), твой id и ещё что то. Так ты сможешь получить информацию обо всём что позволено. Я раньше использовал auth0 и hasura, а теперь надо уйти с auth0 и написать на ноде
GS
при запросе надо предоставить токен, где будет данные кто ты (типа админ или пользователь), твой id и ещё что то. Так ты сможешь получить информацию обо всём что позволено. Я раньше использовал auth0 и hasura, а теперь надо уйти с auth0 и написать на ноде
токен парсится приложением, а с бд работаешь с уже полученными данными
GS
Зачем тогда в БД засовывать токен?
MS
что бы она тебя пропустила
YZ
Страности
GS
что бы она тебя пропустила
Нельзя в запрос передать сразу ID и прочее, а не сам токен?
GS
что бы она тебя пропустила
Это для ограничений прав политиками СУБД?
MS
Нельзя в запрос передать сразу ID и прочее, а не сам токен?
Неа, так любой мог бы просто написать id какого то пользователя и пройти. А токен можно сгенерить только с помощью private key, а прочитать с помощью public key. Мы зашифровываем id в токен и передаём его
GS
Неа, так любой мог бы просто написать id какого то пользователя и пройти. А токен можно сгенерить только с помощью private key, а прочитать с помощью public key. Мы зашифровываем id в токен и передаём его
Так эту проверку может приложение делать.
Или у вас публичная БД?
Или у вас публичная БД?
KL
Неа, так любой мог бы просто написать id какого то пользователя и пройти. А токен можно сгенерить только с помощью private key, а прочитать с помощью public key. Мы зашифровываем id в токен и передаём его
так если данные токена подделать нельзя, зачем его складывать в БД
MS
Так эту проверку может приложение делать.
Или у вас публичная БД?
Или у вас публичная БД?
не совсем понимаю какая это
MS
так если данные токена подделать нельзя, зачем его складывать в БД
токен делаеться сервером на некоторое время, а бд просто проверяет подленность токена
GS
не совсем понимаю какая это
> так любой мог бы просто написать id
У вас кто угодно может писать в БД?
У вас кто угодно может писать в БД?
KL
токен делаеться сервером на некоторое время, а бд просто проверяет подленность токена
зачем проверять подлинность, если токен нельзя подделать? Смысл JWT исключительно в том, что вам не нужно ходить в базу/хранилище сессий и доставать данные о пользователе оттуда
MS
> так любой мог бы просто написать id
У вас кто угодно может писать в БД?
У вас кто угодно может писать в БД?
там есть роли, например роль anonymous, если обратиться в базу с переменной роль: Anonymaus то ты получиш доступ ко всему что позволил админ для этой роли, аналогично с юзер и админ(но с админ надо предоставить ключ)
MS
зачем проверять подлинность, если токен нельзя подделать? Смысл JWT исключительно в том, что вам не нужно ходить в базу/хранилище сессий и доставать данные о пользователе оттуда
угу, не нужны сесии, если я правильно понял то в этом весь смысл
KL
угу, не нужны сесии, если я правильно понял то в этом весь смысл
да, но вы их переизобрели сложив токен в базу