PS
Size: a a a
2020 May 19
т
Да и вообще, пг выбирают те, кто или умеет их админить на 5, или вообще не понимают, какие могут возникнуть проблемы. Докер, спасибо что ты есть
Вот сейчас страшно стало
т
Какие проблемы т могут возникнуть?
ОК
а какие заморочки-то там?
У меня были заморочки с версиями их под реп убунты и центоса при деплое. 9.8 оказалась несовместима с 9.2 вроде
GS
@dtx92 а почему рефреш одноразовый?
А бывает иначе?
ОК
А когда начал ставить более новую версию на центос, то 10 раз пожалел, что не выбрал мускуль
ОК
Но опять же, я просто не сильно знаком с пг, потому у меня и были проблемы. Изучать пг в моих задачах мне не нужно. Если будет специфика какая нибудь, то возможно изучу и возможно буду использовать только её. Но пока вот так
PS
А бывает иначе?
когда злоумышленник его угонит и воспользуется, то пользователю придется заново логиниться?
GS
когда злоумышленник его угонит и воспользуется, то пользователю придется заново логиниться?
Да
ЕП
@dtx92 а почему рефреш одноразовый?
так в этом же его смысл
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
PS
так в этом же его смысл
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
> под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
почему нет?
почему нет?
GS
> ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
Выступают не против jwt, а против его применения там, где он не нужен (не нужна stateless авторизация)
Выступают не против jwt, а против его применения там, где он не нужен (не нужна stateless авторизация)
PS
звучит действительно безопасно
PS
я знаю людей, которые делают электронные подписи. и у них все на жвт. аудит безопасности прошли
PS
так в этом же его смысл
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
а если мне на жвт нужно одновременно сидеть с нескольких устройств?
GS
я знаю людей, которые делают электронные подписи. и у них все на жвт. аудит безопасности прошли
jwt для решения задачи передачи подписанных данных - норм, это его основное предназначение.
Авторизация - уже применение
Авторизация - уже применение
GS
а если мне на жвт нужно одновременно сидеть с нескольких устройств?
То у юзера будет несколько рефрешей в бд
PS
То у юзера будет несколько рефрешей в бд
так что в итоге, рефреш безопаснее сессии?
при условии, что у нас есть сервера для черных списков токенов и волнует только безопасность
при условии, что у нас есть сервера для черных списков токенов и волнует только безопасность
GS
так в этом же его смысл
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
получить новый аксес на полчаса и новый рефреш
я гнул линию, что под одной сессией может сидеть N хацеров, и в ЛК этого видно не будет
а под одной парой рефреш-аксес - только один человек
ну и пришел к выводу, что против жвт выступает те, кто не умеют его готовить, или используют неправильно)
Если ты не присылаешь человеку уведомлений, что он зашёл с нового устройства — никакой безопасности нет.
Да даже, если присылаешь, пока человек опомнится, что надо что-то сделать (а он может быть не очень опытным пользователем), злоумышленник уже сделает всё, что хочет. У меня маме пришло письмо гугла, что пытались зайти, она мне через неделю позвонила только с вопросом, что делать и что это значит.
Тут для безопасности в любом случае (и с jwt, и с сессиями) надо делать какой-то фингерпринт.
———
Итого — единственное отличие, что если у тебя система нацелена на масштабирование, то с jwt ты можешь уменьшить число обращений к хранилищу/сервису авторизации за счёт самовалидирующегося аксесс токена.
При этом JWT сложнее и, как ты сам сказал, его надо уметь готовить.
Если это основное преимущество тебе ничего не дает, то с jwt ты просто усложняешь жизнь, потому что надо уметь его готовить, уметь делать инвалидацию, понимать, как он работает и т.д.
Да даже, если присылаешь, пока человек опомнится, что надо что-то сделать (а он может быть не очень опытным пользователем), злоумышленник уже сделает всё, что хочет. У меня маме пришло письмо гугла, что пытались зайти, она мне через неделю позвонила только с вопросом, что делать и что это значит.
Тут для безопасности в любом случае (и с jwt, и с сессиями) надо делать какой-то фингерпринт.
———
Итого — единственное отличие, что если у тебя система нацелена на масштабирование, то с jwt ты можешь уменьшить число обращений к хранилищу/сервису авторизации за счёт самовалидирующегося аксесс токена.
При этом JWT сложнее и, как ты сам сказал, его надо уметь готовить.
Если это основное преимущество тебе ничего не дает, то с jwt ты просто усложняешь жизнь, потому что надо уметь его готовить, уметь делать инвалидацию, понимать, как он работает и т.д.