КН
Date.now().valueOf() можно сократить до Date.now()Size: a a a
2020 March 29
КН
Date.now() возвращает число.КН
Эквивалентно:
Date.now()
new Date().valueOf()RB
А, тебе бы добавлять токен в базу (при создании), а потом в коде, который выше доставать его с базы и проверять. В базе вместе с токеном советую хранить и expires, вместо хранения expires в jwt
Если складывать в базу то смысл тогда от токенов этих? Обычные сессии справятся. Преимущество jwt что в базу можно за правами не лазить.
RB
Старый я уже удалил, но все равно меня приложение пропускает по старому токену
Ну так подпись верна и срок валидный, он и будет пускать. Сделай блэклист (по сути массив в памяти), в который такие токены будут складываться. Они будут храниться там максимум 15 минут (если токен живёт 15 минут, допустим). Раз в минуту чистить от протухших токенов и всё. Ну и если нужно ещё и на диск текущий слепок блэклиста сохранять можно (чтобы поднять после падения сервиса). Ну и проверка в таком массиве никакого оверхеда не даст, он почти всегда будет пустой.
nn
Если складывать в базу то смысл тогда от токенов этих? Обычные сессии справятся. Преимущество jwt что в базу можно за правами не лазить.
Я бы не хранил такую информацию об expires на фронте. JWT вроде как зашифрован, но я думаю у смекалистых людей всегда найдется вариант обойти защиту.
Плюс к этому, сессиями можно будет управлять из базы. Как ВКонтакте, к примеру, есть список сессий и каждую можно завершить нажатием кнопки. Плюс в админке можно сделать подобный функционал
Плюс к этому, сессиями можно будет управлять из базы. Как ВКонтакте, к примеру, есть список сессий и каждую можно завершить нажатием кнопки. Плюс в админке можно сделать подобный функционал
RB
Я бы не хранил такую информацию об expires на фронте. JWT вроде как зашифрован, но я думаю у смекалистых людей всегда найдется вариант обойти защиту.
Плюс к этому, сессиями можно будет управлять из базы. Как ВКонтакте, к примеру, есть список сессий и каждую можно завершить нажатием кнопки. Плюс в админке можно сделать подобный функционал
Плюс к этому, сессиями можно будет управлять из базы. Как ВКонтакте, к примеру, есть список сессий и каждую можно завершить нажатием кнопки. Плюс в админке можно сделать подобный функционал
Так нет проблем, если используются сессии то и работать с ними как с сессиями. Но превращать JWT в сессию нет смысла. 💁🏻♂️ Время истечения токена не является конфиденциальной информацией. И вообще всё что внутри него хранится.
RB
Я бы не хранил такую информацию об expires на фронте. JWT вроде как зашифрован, но я думаю у смекалистых людей всегда найдется вариант обойти защиту.
Плюс к этому, сессиями можно будет управлять из базы. Как ВКонтакте, к примеру, есть список сессий и каждую можно завершить нажатием кнопки. Плюс в админке можно сделать подобный функционал
Плюс к этому, сессиями можно будет управлять из базы. Как ВКонтакте, к примеру, есть список сессий и каждую можно завершить нажатием кнопки. Плюс в админке можно сделать подобный функционал
> найдется вариант обойти защиту
Подпись сервера они не смогут подделать.
Подпись сервера они не смогут подделать.
А
Создать новую модель Token. В неё добавить поля user_id, expires, token, и метод validate для проверки валидности
Модель то уже есть, нужно только дописать то что ты написал получается
const schema = new Schema({
value : {
type: String,
required: true,
},
userId: {
type: Schema.Types.ObjectId,
ref: 'User',
required: true,
}
});nn
Так нет проблем, если используются сессии то и работать с ними как с сессиями. Но превращать JWT в сессию нет смысла. 💁🏻♂️ Время истечения токена не является конфиденциальной информацией. И вообще всё что внутри него хранится.
Как не является?
AM
Да
извращенец)
RB
Как не является?
Чем оно конфиденциально?
Всё что внутри токена лежит - не должно быть секретным.
Всё что внутри токена лежит - не должно быть секретным.
АП
@ShGKme поговори с девушкой
А
извращенец)
А что так ?
AM
Неужели никто не начал обьяснять почему jwt говно?
RB
Неужели никто не начал обьяснять почему jwt говно?
Потому что это глупость? )
AM
А что так ?
В твоём случае, да и в 95% других случаях лучше обойтись express-session’ами
nn
Модель то уже есть, нужно только дописать то что ты написал получается
const schema = new Schema({
value : {
type: String,
required: true,
},
userId: {
type: Schema.Types.ObjectId,
ref: 'User',
required: true,
}
});Токен можно тоже строкой, генерировать рандомный или на твое усмотрение алгоритму, и тогда можно даже отказаться от jwt
RB
Кому нудны JWT - используют JWT. Кому нужны сессии - используют сессии.
RB
В твоём случае, да и в 95% других случаях лучше обойтись express-session’ами
Вот с этим согласен, что большинству JWT может быть не нужен.