TS
И вам удобнее и меньше манкипатчинга под капотом
Size: a a a
2021 June 16
TS
но cors нужно
DH
Ясно, понял!
О
Здравстуйте, сейчас разбираюсь с сессиями, до этого работал только с жвт. Правильно ли я понял что на каждый запрос нужно достать токен с кук, если он есть то достать с хранилища сессию, и только после этого делать каую-то логику?
О
Так и не понял преймуществ перед жвт
N
c jwt по сути вам не нужно лезть в хранилище сессий и проверять их
достаточно проверить сам токен (подпись)
достаточно проверить сам токен (подпись)
A
Тут все верно. Но есть и чуть другие способы.
Преимущество перед жвт в том, что вы не делаете из жвт сессии в процессе делания жвт безопасным.
Преимущество перед жвт в том, что вы не делаете из жвт сессии в процессе делания жвт безопасным.
A
Ну это только если делать систему типа "решето". Если делать секурно, то туда добавляются и "лезть в базу" и не только.
О
А где можно почитать про другие способы?
A
Если данных, которые вам нужны в сессии немного, то их можно шифровать и сохранять в куку. И потом расшифровывать. Тогда в базу ходить не надо.
Например при помощи таких вот либ.
https://github.com/sodium-friends/sodium-native
https://sodium-friends.github.io/docs/docs/keyboxencryption
https://sodium-friends.github.io/docs/docs/secretkeyboxencryption
Например при помощи таких вот либ.
https://github.com/sodium-friends/sodium-native
https://sodium-friends.github.io/docs/docs/keyboxencryption
https://sodium-friends.github.io/docs/docs/secretkeyboxencryption
О
A
Но шифровать опять же можно каким-угодно алгоритмом и либой
IF
Я так понял оптимально там только айдишник юзера держать.
A
Если шифровать - то да. Но если у вас база не тормознутая в край, то проще держать в куке сессионый айдишник и уже в базе хранить все что нужно
IF
А то уже ожегся, когда держал там всего юзера без пароля
AO
Добрый день. Появились ли уже в открытом доступе доклады с fwdays 5го июня? интересуют доклады Тимура и Ильи Климова
F
нужен короткий экспайр аксеса и лазить в базу не рефреше, тогда все секурно как мне кажется. Проблема в том когда сессионные данные интерактивные, здесь жвт уже совсем плох
F
а еще когда сессионных данных слишком много, тогда жвт тоже не подходит
A
короткий это сколько?
F
у нас в компании используется две минуты. Я не люблю жвт, не вижу что это дает нам большую производительность, и мы всеравно каждые две минуты лазим в базу, да и случай когда лезть в базу это слишком дорого мне тяжело придумать, поэтому лучше уж сразу чистые сессии брать