GS
Хотя не так странно, как "потому что в него можно ещё данные положить"
Size: a a a
2020 May 19
ЕП
Если я в него зайду. Мне уведомление придёт? Как будет известно, что 2 активных юзера, если у них один токен? Надо отдельно ещё устройства считать?
Да, если ты в него зайдешь.
Если нужно больше, то делаешь уведомление, то ваш рефреш токен "того"
Смысл в том, что у тебя такая возможность есть
Если нужно больше, то делаешь уведомление, то ваш рефреш токен "того"
Смысл в том, что у тебя такая возможность есть
GS
Да, если ты в него зайдешь.
Если нужно больше, то делаешь уведомление, то ваш рефреш токен "того"
Смысл в том, что у тебя такая возможность есть
Если нужно больше, то делаешь уведомление, то ваш рефреш токен "того"
Смысл в том, что у тебя такая возможность есть
С двух устройств сидят с одним аксесом.
Как ты понимаешь, что сидят с двух устройств?
Как ты понимаешь, что сидят с двух устройств?
ЕП
А привязывать сессию/jwt к устройству, чтобы нельзя было использовать на другом - это одинаковый велосипед.
жвт никуда не нужно привязывать
у тебя два токена. захотел на другое устройство - добро пожаловать
у тебя два токена. захотел на другое устройство - добро пожаловать
GS
жвт никуда не нужно привязывать
у тебя два токена. захотел на другое устройство - добро пожаловать
у тебя два токена. захотел на другое устройство - добро пожаловать
Злоумышленник угнал аксесс токен и использует на другом устройстве.
Как я узнаю об этом в своём личном кабинете?
Как я узнаю об этом в своём личном кабинете?
ЕП
С двух устройств сидят с одним аксесом.
Как ты понимаешь, что сидят с двух устройств?
Как ты понимаешь, что сидят с двух устройств?
брр, по десятому разу
аксес токен живет 30 минут
да, первые полчаса его хоть всей общагой можно пользоваться, но давайте будем реалистами
обычно между угоном и использованием время измеряется часами/дня, а не минутами
аксес токен живет 30 минут
да, первые полчаса его хоть всей общагой можно пользоваться, но давайте будем реалистами
обычно между угоном и использованием время измеряется часами/дня, а не минутами
GS
Да, если ты в него зайдешь.
Если нужно больше, то делаешь уведомление, то ваш рефреш токен "того"
Смысл в том, что у тебя такая возможность есть
Если нужно больше, то делаешь уведомление, то ваш рефреш токен "того"
Смысл в том, что у тебя такая возможность есть
Ну так с сессиями тоже есть, с ними даже проще, они априори хранятся в хранилище, и мы знаем, сколько их
ЕП
Злоумышленник угнал аксесс токен и использует на другом устройстве.
Как я узнаю об этом в своём личном кабинете?
Как я узнаю об этом в своём личном кабинете?
ответ такой:
пусть использует. нам не жалко
пусть использует. нам не жалко
ЕП
Ну так с сессиями тоже есть, с ними даже проще, они априори хранятся в хранилище, и мы знаем, сколько их
у тебя под одной сессией может сидеть 10 человек
ЕП
"без велосипедов"
ЕП
если используешь фингерпринты, то уже проще, но это изврат, и не вижу проблем и его подделать
RR
какой сервер выбрать для webhook и как подключить?
И
какой сервер выбрать для webhook и как подключить?
любой
RR
любой
например? heroku идет?
JP
например? heroku идет?
любой
GS
"без велосипедов"
Рефреш токен — это тоже велосипед.
Сам по себе jwt их не имеет, это подход
Сам по себе jwt их не имеет, это подход
Т
ребят вы все будто не на русском общаетесь
CM
Тимерлан
ребят вы все будто не на русском общаетесь
🙈🌚
ЕП
Рефреш токен — это тоже велосипед.
Сам по себе jwt их не имеет, это подход
Сам по себе jwt их не имеет, это подход
похоже, имеет смысл уточнить
под jwt авторизацией я подразумевал подход, при котором используются аксес и рефреш токены.
под jwt авторизацией я подразумевал подход, при котором используются аксес и рефреш токены.