NN
давайте лучше вернёмся к обсуждению nodejs related вопросов ._.
Голоса разума пришел - я согласен)
Size: a a a
2020 April 09
KS
Беги от такого ментора, jwt в крупных проектах не всегда нужен, а он джуну даёт это
а что лучше?
GS
jwt не круто бтв в большинстве случаев
Достаточно сессий
Достаточно сессий
Это, кстати, вполне предсказуемо, что так учат.
jwt как в туториалы пихают часто, так и он более "естественный" для api
jwt как в туториалы пихают часто, так и он более "естественный" для api
И
Это, кстати, вполне предсказуемо, что так учат.
jwt как в туториалы пихают часто, так и он более "естественный" для api
jwt как в туториалы пихают часто, так и он более "естественный" для api
естественный ?
когда потом с горькими слезами приходят и орут "у юзера спиздили токен и украли все данные/деньги/деда. что делать помогите как забанить токен"
когда потом с горькими слезами приходят и орут "у юзера спиздили токен и украли все данные/деньги/деда. что делать помогите как забанить токен"
GS
естественный ?
когда потом с горькими слезами приходят и орут "у юзера спиздили токен и украли все данные/деньги/деда. что делать помогите как забанить токен"
когда потом с горькими слезами приходят и орут "у юзера спиздили токен и украли все данные/деньги/деда. что делать помогите как забанить токен"
Если в твоём приложении можно "украсть все деньги", то такие вопросы явно не рядовой разработчик будет решать, а будет отдельный аудит безопасности и люди, которые этим занимаются.
Это явно не то, что беспокоит учащегося джуна
Это явно не то, что беспокоит учащегося джуна
И
Если в твоём приложении можно "украсть все деньги", то такие вопросы явно не рядовой разработчик будет решать, а будет отдельный аудит безопасности и люди, которые этим занимаются.
Это явно не то, что беспокоит учащегося джуна
Это явно не то, что беспокоит учащегося джуна
опять ты мне напомнил, что нужно будет нанимать пентестеров и QA
И
................................ мда
GS
ну не придёт джун в чат с вопросом "помогите, угнали токен, украли деньги"
GS
а если придёт, то скорее всего у него и с сессиями бы украли)
И
вот поэтому нужно собирать всякие отпечатки юзеров, IP и тд
GS
Интересно, что сравнивают всегда сессии и jwt, будто это два единственных способа аутентификации
И
Интересно, что сравнивают всегда сессии и jwt, будто это два единственных способа аутентификации
эх, как же хочется свой сервер авторизации
чтобы можно было из любого языка иметь доступ к данным юзера
чтобы можно было из любого языка иметь доступ к данным юзера
М
Интересно, что сравнивают всегда сессии и jwt, будто это два единственных способа аутентификации
А какие ещё есть?
AS
А какие ещё есть?
По сертификаты например
И
А какие ещё есть?
oauth там всякие
И
Вооо, можешь ещё через ЭЦП делать
Как для ИП делают всякие с ключами и прочей парашей бесполезной
Как для ИП делают всякие с ключами и прочей парашей бесполезной
М
Вооо, можешь ещё через ЭЦП делать
Как для ИП делают всякие с ключами и прочей парашей бесполезной
Как для ИП делают всякие с ключами и прочей парашей бесполезной
А чем это от жвт отличается принципиально?
М
По сертификаты например
Какие такие сертификаты ? Я бы почитал про это.
GS
А какие ещё есть?
basic/digest, OAuth (1), OAuth 2 (прочие, кроме jwt)
GS
Вооо, можешь ещё через ЭЦП делать
Как для ИП делают всякие с ключами и прочей парашей бесполезной
Как для ИП делают всякие с ключами и прочей парашей бесполезной
ну вообще, jwt тоже с ключами бывает подписанный)