T
Ну вот представь что речь про доступ к твоему банковскому аккаунту. Сойдёт ли тебе такой ответ, когда ты будешь наблюдать как в течение этого срока годности будут утекать твои накопления и ты ничего с этим сделать не можешь
Size: a a a
2020 March 03
KL
Чтобы отозвать можно было
Так если тебе надо токены отзывать то ты теряешь основную плюшку токенов - необходимость ходить в базу, нет? JWT вроде хорош для межсервисного взаимодействия, а не для клиент-сервер сессий, разве нет?
T
Так если тебе надо токены отзывать то ты теряешь основную плюшку токенов - необходимость ходить в базу, нет? JWT вроде хорош для межсервисного взаимодействия, а не для клиент-сервер сессий, разве нет?
Поэтому только у второго токена такое
T
Который рефреш. Отозвать 20 минутный токен можно у всех сразу, другие клиенты просто переполучат его за счёт refresh
KL
Поэтому только у второго токена такое
но тогда ты первый отозвать не сможешь. Тебе надо либо ТТЛ очень маленький ему ставить, либо тоже блеклистить
T
но тогда ты первый отозвать не сможешь. Тебе надо либо ТТЛ очень маленький ему ставить, либо тоже блеклистить
Я уже ответил на этот вопрос только что
T
Ибо он вполне логично следует.
KL
Который рефреш. Отозвать 20 минутный токен можно у всех сразу, другие клиенты просто переполучат его за счёт refresh
да, я понял. Т.е. все аутентифицированые пользователи пойдут переполучать токены?
T
Ну не то что они пойдут прям как будто никогда не ходят
T
Они раз в 20 минут это делают
AZ
Подскажите пожалуйста почему может не работать функции с первого раза . Из базы пароль достаю с первого а функция дешифрации со второго раза начинает работать?
T
Они раз в 20 минут это делают
И это для человека прозрачно проходит
MS
угу я понял, а какое время надо им ставить +- ? как я понял после истекания рефреша надо перерегатся, или нет?
T
Он даже не успеет заметить как попал в матрицу
T
угу я понял, а какое время надо им ставить +- ? как я понял после истекания рефреша надо перерегатся, или нет?
Вообще, в этой области программирования работает принцип --- не уверен полностью --- ищи готовое решение. Потому что с безопасностью накосячить по невнимательности или незнанию очень легко
KL
Он даже не успеет заметить как попал в матрицу
А в чем преимущество такого подхода перед тем, чтобы между клиентом/сервером использовать стандартную сессию, в которой хранить JWT для межсервисного взаимодействия?
IK
Ребят,пробую отдать ошибку на клиент, res.status(500).send('TEST ERROR') , но на клиенте приходит ' 500 (Internal Server Error) ' . Как передать сообщение?
T
А в чем преимущество такого подхода перед тем, чтобы между клиентом/сервером использовать стандартную сессию, в которой хранить JWT для межсервисного взаимодействия?
Вроде как тут одно частный случай другого, поэтому уточните вопрос.
T
Ребят,пробую отдать ошибку на клиент, res.status(500).send('TEST ERROR') , но на клиенте приходит ' 500 (Internal Server Error) ' . Как передать сообщение?
Передавай статус хотя бы 200
IK
Так мне ошибку надо вернуть