AM
JWT современный, хайповый. Все думают что изучая его, они начинают шарить
Size: a a a
2020 March 29
CM
Неужели никто не начал обьяснять почему jwt говно?
бессмысленный спор)
AM
но это говно, где ты должен писать велосипед, который уже написан в express-session’ами
nn
Чем оно конфиденциально?
Всё что внутри токена лежит - не должно быть секретным.
Всё что внутри токена лежит - не должно быть секретным.
После истечения срока годности предполагается, что по токену больше нельзя будет получить секретные данные, к примеру, баланс пользователя. Вот в этом и есть конфиденциальность
AM
Токен нельзя отозвать после выпуска - а вся эта ёбля с бд и контролем, невероятный говнокод
RB
но это говно, где ты должен писать велосипед, который уже написан в express-session’ами
Ну вот если у меня есть API и используется JWT, я не хочу на каждый запрос от клиента делать два запроса в базу. Я проверю через JWT права и сделаю один запрос за данными. А ты будешь со своими сессиями всегда делать два запроса.
nn
Токен нельзя отозвать после выпуска - а вся эта ёбля с бд и контролем, невероятный говнокод
Вот я и за это говорю 😊
RB
Токен нельзя отозвать после выпуска - а вся эта ёбля с бд и контролем, невероятный говнокод
Один массив в памяти проблема держать?
AM
И когда кто-то считая крутым начинает пилить такое на jwt, хочется гроб заказать и написать “юзал JWT”)
AM
Ну вот если у меня есть API и используется JWT, я не хочу на каждый запрос от клиента делать два запроса в базу. Я проверю через JWT права и сделаю один запрос за данными. А ты будешь со своими сессиями всегда делать два запроса.
Какие два запроса?)
RB
Какие два запроса?)
Сначала проверить права, потом отдать то что юзер хочет.
AM
Ты сравниваешь расшифровку jwt с запросами в бд?
RB
Ты сравниваешь расшифровку jwt с запросами в бд?
Это ты говоришь что сессия всегда заменит JWT легко.
AM
Один массив в памяти проблема держать?
Проблема
nn
Сначала проверить права, потом отдать то что юзер хочет.
Окей. К примеру, в JWT хранится ИД пользователя.
Если пользователя удалили из базы, как тогда быть? Без проверки никак
Если пользователя удалили из базы, как тогда быть? Без проверки никак
AM
Это ты говоришь что сессия всегда заменит JWT легко.
Я сказал о 95%, частные случаи типа Яндекса, когда там сотни сервисов
RB
Я сказал о 95%, частные случаи типа Яндекса, когда там сотни сервисов
Да я говорю даже не про распределённую базу. А про один сервер с API какой-нибудь. Объясни как будет выглядеть алгоритм на сессиях?
AM
Ты должен при каждом запросе на любой сервис:
1) Расшифровать токен, получить данные
2) Пробить не пиздабол ли он, существует ли аккаунт
3) Пробить не забанен ли он
1) Расшифровать токен, получить данные
2) Пробить не пиздабол ли он, существует ли аккаунт
3) Пробить не забанен ли он
AM
У сессий всё просто - хочешь забанить человека, удаляешь сессию. Нет сессии - нет юзера, а при авторизации слать нахер
RB
Ты должен при каждом запросе на любой сервис:
1) Расшифровать токен, получить данные
2) Пробить не пиздабол ли он, существует ли аккаунт
3) Пробить не забанен ли он
1) Расшифровать токен, получить данные
2) Пробить не пиздабол ли он, существует ли аккаунт
3) Пробить не забанен ли он
Так это всё проверится одной проверкой в массиве. В него будут попадать токены валидные по времени но отозванные, они там пролежат пока не протухнут и всё. Проблемы нет.