MK
у jwt есть - "ничего страшного, он пол часа живет"
Size: a a a
2020 May 19
GS
Только некоторые велосипеды давно обкатаны
ЕП
А жвт не сопрут?
я же уже писал
если и сопрут, то это не так критично. у тебя под одним jwt только один клиент сидеть можно, в отличие от сессий
если и сопрут, то это не так критично. у тебя под одним jwt только один клиент сидеть можно, в отличие от сессий
Н
а в REST можно использовать сессии?
ЕП
про безопасность я же уже написал
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.
Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.
Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
.
GS
Никита
а в REST можно использовать сессии?
Разумеется
CM
Никита
а в REST можно использовать сессии?
Почему нет?)
GS
про безопасность я же уже написал
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.
Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
если сопрут refresh, то основной юзер потом его заюзать не сможет => станет ясно, что токен сперли
если сопрут access, то ничего страшного, он живет часа пол.
Хранить там ник, права, например
Чтобы за юзером в базу лазить не надо было.
Кому станет ясно? И что с этой ясностью делать?
MK
Никита
а в REST можно использовать сессии?
рест это архитектура
ЕП
Из коробки ни у сессий, ни у jwt ничего нет
у jwt есть)
Firebase Auth
Firebase Auth
GS
я же уже писал
если и сопрут, то это не так критично. у тебя под одним jwt только один клиент сидеть можно, в отличие от сессий
если и сопрут, то это не так критично. у тебя под одним jwt только один клиент сидеть можно, в отличие от сессий
Почему под одним access token не могут сидеть 100 человек?
MK
у jwt есть)
Firebase Auth
Firebase Auth
рили, давайте все завязываться на сторонний сервис
GS
у jwt есть)
Firebase Auth
Firebase Auth
jwt - это спецификация
GS
сам по себе jwt вообще не про авторизацию
GS
а вот как вы на jwt делаете авторизацию — это уже разные опдходы и разные велосипеды для разных задач.
Ровно как и с сессиями
Ровно как и с сессиями
ЕП
Почему под одним access token не могут сидеть 100 человек?
первые 20 минут могут, а потом нет
ЕП
Кому станет ясно? И что с этой ясностью делать?
в кабинете ты увидишь, что у тебя 2 активных юзера
можешь всех грохнуть
можешь всех грохнуть
GS
в кабинете ты увидишь, что у тебя 2 активных юзера
можешь всех грохнуть
можешь всех грохнуть
Если я в него зайду. Мне уведомление придёт? Как будет известно, что 2 активных юзера, если у них один токен? Надо отдельно ещё устройства считать?
GS
А привязывать сессию/jwt к устройству, чтобы нельзя было использовать на другом - это одинаковый велосипед.
GS
Никаких вопросов к JWT, если его используют, когда действительно надо stateless аутентификацию на сервисах (и решена проблема с баном).
Но "ради безопасности" его брать — это мега странно
Но "ради безопасности" его брать — это мега странно