В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Node.js — русскоговорящее сообщество

6281 membersпожаловаться на группу
2020 May 19

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
Видимо, в скором будущем буду пробовать, спасибо
источник
12:29пожаловаться#1

꧁岡

꧁倫太郎 岡部꧂... in Node.js — русскоговорящее сообщество
Евгений Пантелеев
херня это все
я раньше тоже против жвт топил (ссылаясь на эту же схему), но, как оказаось, просто не умел его готовить.
основные плюсы жвт:
1. Можно хранить нужные данные прям в ключе
2. Безопасность

Если у тебя сопрут ключ сессии, то под ним сможет работать N хацкеров, а никто даже не узнает
Безопасность и жвт) улыбнуло)

А какие данные кроме id юзера ты там собрался хранить?
источник
12:33пожаловаться#2

MK

Mihail Kuzmin in Node.js — русскоговорящее сообщество
꧁倫太郎 岡部꧂
Безопасность и жвт) улыбнуло)

А какие данные кроме id юзера ты там собрался хранить?
ну подписывается же токен, значит безопасно
источник
12:36пожаловаться#3

꧁岡

꧁倫太郎 岡部꧂... in Node.js — русскоговорящее сообщество
Mihail Kuzmin
ну подписывается же токен, значит безопасно
Это не значит что данные в нём зашифрованы)
источник
12:37пожаловаться#4

MK

Mihail Kuzmin in Node.js — русскоговорящее сообщество
꧁倫太郎 岡部꧂
Это не значит что данные в нём зашифрованы)
я рофлил, а ты не распарсил
источник
12:37пожаловаться#5

GS

Grigorii K. Shartsev in Node.js — русскоговорящее сообщество
Евгений Пантелеев
херня это все
я раньше тоже против жвт топил (ссылаясь на эту же схему), но, как оказаось, просто не умел его готовить.
основные плюсы жвт:
1. Можно хранить нужные данные прям в ключе
2. Безопасность

Если у тебя сопрут ключ сессии, то под ним сможет работать N хацкеров, а никто даже не узнает
1. а можно хранить данные прямо в сессии (отправляться и храниться на клиенте при этом больше не будет)
2. Что безопасно, чем безопасно?
источник
12:37пожаловаться#6

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
꧁倫太郎 岡部꧂
Безопасность и жвт) улыбнуло)

А какие данные кроме id юзера ты там собрался хранить?
про безопасность я же уже написал
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.

Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
источник
12:39пожаловаться#7

꧁岡

꧁倫太郎 岡部꧂... in Node.js — русскоговорящее сообщество
Евгений Пантелеев
про безопасность я же уже написал
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.

Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
А если юзер удалил учетку/ты его забанил?
Что тогда делать будешь?
источник
12:40пожаловаться#8

MK

Mihail Kuzmin in Node.js — русскоговорящее сообщество
Евгений Пантелеев
про безопасность я же уже написал
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.

Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
за пол часа можно что угодно наделать
источник
12:40пожаловаться#9

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
Grigorii K. Shartsev
1. а можно хранить данные прямо в сессии (отправляться и храниться на клиенте при этом больше не будет)
2. Что безопасно, чем безопасно?
Что случится, если хакет у тебя эту сессию сопрет? У него будет бесконечный доступ, а пользователь об этом не узнает?
источник
12:40пожаловаться#10

꧁岡

꧁倫太郎 岡部꧂... in Node.js — русскоговорящее сообщество
Евгений Пантелеев
Что случится, если хакет у тебя эту сессию сопрет? У него будет бесконечный доступ, а пользователь об этом не узнает?
Маловероятно
источник
12:40пожаловаться#11

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
꧁倫太郎 岡部꧂
Маловероятно
что именно?
источник
12:40пожаловаться#12

꧁岡

꧁倫太郎 岡部꧂... in Node.js — русскоговорящее сообщество
Что сопрут)
источник
12:41пожаловаться#13

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
꧁倫太郎 岡部꧂
А если юзер удалил учетку/ты его забанил?
Что тогда делать будешь?
он рефреш токеном воспользоваться не сможет
источник
12:41пожаловаться#14

GS

Grigorii K. Shartsev in Node.js — русскоговорящее сообщество
Евгений Пантелеев
Что случится, если хакет у тебя эту сессию сопрет? У него будет бесконечный доступ, а пользователь об этом не узнает?
Есть те же подходы к защите тут, что и подходы к защите jwt токена.
Фингерпринты, например
источник
12:42пожаловаться#15

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
꧁倫太郎 岡部꧂
Что сопрут)
отличный аргумент

это основная причина, по которой я jwt пользую
источник
12:42пожаловаться#16

꧁岡

꧁倫太郎 岡部꧂... in Node.js — русскоговорящее сообщество
Евгений Пантелеев
отличный аргумент

это основная причина, по которой я jwt пользую
А жвт не сопрут?
источник
12:43пожаловаться#17

ЕП

Евгений Пантелеев... in Node.js — русскоговорящее сообщество
Grigorii K. Shartsev
Есть те же подходы к защите тут, что и подходы к защите jwt токена.
Фингерпринты, например
да-да, можно кучу велосипедов придумать
из коробки это где-нибудь есть?
источник
12:44пожаловаться#18

GS

Grigorii K. Shartsev in Node.js — русскоговорящее сообщество
Евгений Пантелеев
да-да, можно кучу велосипедов придумать
из коробки это где-нибудь есть?
Из коробки ни у сессий, ни у jwt ничего нет
источник
12:44пожаловаться#19

GS

Grigorii K. Shartsev in Node.js — русскоговорящее сообщество
Везде велосипеды, а с jwt их на порядок больше
источник
12:44пожаловаться#20