Е
От Andre neagoe отличный курс по ноде, который покрывает, ну, практически, все
Size: a a a
2021 June 09
AS
Не слыхал о таком
И
может мы про разные курсы, но я про курс где express + ангуляр. Понятное дело, что в части по ангуляр он верстает. Либо ты про еще какой то другой курс где express + какой то шаблонизатор и страница рендерится сервером
AS
Я про тот, который висит у него на юдеми
АП
Не про нодовские курсы, но, думаю, показательно про минина: https://youtu.be/p3vfmNIjmW4
1
это именно его подход
1
хауди хо и дударь на максималках
V
Traversymedia
ED
Привет. У меня сайт на MERN стаке. Если я храню JWT токен в localstorage, то на каждый GET запрос страницы пользователя , я должен отправлять токен и проверять заблокирован ли пользователь или нет?
ED
И, как например отследить, чтобы сбрасывались все другие авторизации пользователя при смене пароля? Использовать версионирование?
I
не использовать JWT (а так - хранить заблоченные но не просроченные токены отдельно, например. и проверять каждый раз что пришедшего нет в их числе)
m@
Ну как-как... В редисе хранишь список авторизационных токенов для user_id. Когда меняется пароль, просто удаляешь все токены и при авторизации добавляешь новый. При разлогине удаляешь текущий. Всё просто.
А
В сторедже хранить токен вообще не оч хорошо. Любой подключаемый скрипт на странице имеет доступ к хранилищу.
Можно спереть токен. XSS атака называется.
Можешь использовать токен в http-only cookie
На шо тебе его хранить в сторедже.
Но тогда тут другая уязвимость. CSRF-атака.
И чтоб защититься, нужно внедрять на страницу CSRF токен.
Можно спереть токен. XSS атака называется.
Можешь использовать токен в http-only cookie
На шо тебе его хранить в сторедже.
Но тогда тут другая уязвимость. CSRF-атака.
И чтоб защититься, нужно внедрять на страницу CSRF токен.
ED
А есть альтернатива JWT? Или может быть другой способ?
А
Та я, честн говоря, не очень разбираюсь) Недели две читал, и узнавал про это, и до сих пор картина мутная.
Я JWT тоже использую :D
Ну, JWT нужен для определённых целей. Например у тебя один сервак, и разные места обращения к нему.
Андроид или Десктоп приложения, и сайт, например.
JWT - универсальный способ аутентификации. Его можно с разных платформ/устройств использовать.
Если у тебя только сайт, то можно в сессии запоминать, что пользователь авторизирован. Обычно фреймворки по умолчанию такую фичу предоставляют.
Надеюсь, нигде не соврал.
Я JWT тоже использую :D
Ну, JWT нужен для определённых целей. Например у тебя один сервак, и разные места обращения к нему.
Андроид или Десктоп приложения, и сайт, например.
JWT - универсальный способ аутентификации. Его можно с разных платформ/устройств использовать.
Если у тебя только сайт, то можно в сессии запоминать, что пользователь авторизирован. Обычно фреймворки по умолчанию такую фичу предоставляют.
Надеюсь, нигде не соврал.
А
Эт такой прикол вообще. Читаешь туториал о том, как НЕЛЬЗЯ хранить JWT в локальном хранилище.
Листаешь статью в самый низ, тыкаешь на стрелку вперёд (след. статья), и там туториал по использованию JWT, и хранят его где? прально, в локальном хранилище :D
Листаешь статью в самый низ, тыкаешь на стрелку вперёд (след. статья), и там туториал по использованию JWT, и хранят его где? прально, в локальном хранилище :D
m@
Генерируй рандомный md5 и сопоставляй с юзером. Можешь ещё с временем истечения сопоставить. А потом по времени удалять токены.
m@
Если вдруг утечёт секретный ключ, то твоя авторизация превращается в Session Cookie Forge)) А ещё такое бывает и без смены ключа.
А
Я не понимать о чём ты))