R
Size: a a a
2020 April 09
R
заверните 2 и обе на орбиту
СП
Что не так с JWT, у кого хоть раз воровали токены?
h
а что вместо jwt юзать?
倫岡
Почему тогда сессии не возьмёшь?
.
СП
Почему man in the middle в контексте сравнения с сессиями, там тоже самое, нет?
倫岡
Почему man in the middle в контексте сравнения с сессиями, там тоже самое, нет?
это уже к протоколу вопросы, а не логинам
RB
Что не так с JWT, у кого хоть раз воровали токены?
Обычно у них аргументом является "а если у тебя токен украдут?", при этом не отвечают что будет если украдут сессию. Пользователь даже не заметит, злоумышленник будет сидеть с ним параллельно. Ноу проблем. 💁🏻♂️
GS
Обычно у них аргументом является "а если у тебя токен украдут?", при этом не отвечают что будет если украдут сессию. Пользователь даже не заметит, злоумышленник будет сидеть с ним параллельно. Ноу проблем. 💁🏻♂️
Сессию легко инвалидировать
СП
https://t.me/why_jwt_is_bad/16 в чем проблема отзыва refresh_token, жертва залогинится и сбросит его. А так логично, если для юзера ходит 2 refresh'а значит тревога инвалидируем
СП
Сессию легко инвалидировать
речь о детекте
RB
Сессию легко инвалидировать
Ну добавить токен в блэклист (в памяти) тоже можно. Уже не раз обсуждали это.
RB
Он там провисит до протухания токена и всё. Это не проблема. Блэклист почти всегда пустой будет.
GS
речь о детекте
Ну ключевое отличие только в этом.
Jwt самодостаточный и сам говорит о своей подлинности.
Серверная сессия - нет и всегда определяется сервером
Jwt самодостаточный и сам говорит о своей подлинности.
Серверная сессия - нет и всегда определяется сервером
RB
Но при этом всё переводить на JWT, как некоторые хотят тоже бред, по моему. Каждой задаче свой инструмент.
GS
Но при этом всё переводить на JWT, как некоторые хотят тоже бред, по моему. Каждой задаче свой инструмент.
Имеешь плюс от стейтлесс масштабирование, и бан лист - не проблема -- берешь jwt.
Иначе - серверные сессии
Иначе - серверные сессии
RB
Имеешь плюс от стейтлесс масштабирование, и бан лист - не проблема -- берешь jwt.
Иначе - серверные сессии
Иначе - серверные сессии
Именно. 👌🏻
GS
Главное - не юзать client side session, которые объединяют проблемы всех сразу)