Size: a a a

NodeUA - JavaScript and Node.js in Ukraine

2020 April 22

NN

Nikita Nesterchuk in NodeUA - JavaScript and Node.js in Ukraine
Да
источник

TS

Timur Shemsedinov in NodeUA - JavaScript and Node.js in Ukraine
Dmitriy Alexandrovich
Понял, спасибо. И получается, что при каждом запросе ходим в БД за данными пользователя?
Не обязательнь, можно кешировать в памяти и хеши паролей и токены сессий
источник

TS

Timur Shemsedinov in NodeUA - JavaScript and Node.js in Ukraine
В стартер ките кешируютмя токены, но не хеши
источник

DA

Dmitriy Alexandrovic... in NodeUA - JavaScript and Node.js in Ukraine
Timur Shemsedinov
Не обязательнь, можно кешировать в памяти и хеши паролей и токены сессий
А что скажете про систему access/refresh токенов?
источник

TS

Timur Shemsedinov in NodeUA - JavaScript and Node.js in Ukraine
Dmitriy Alexandrovich
А что скажете про систему access/refresh токенов?
Для чего? Вот двухфакторная имеет смысл
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Dmitriy Alexandrovich
А что скажете про систему access/refresh токенов?
А толку от неё? Рефреш токен по сути долгоживущая рандомная стринга. В аксес токен зашита инфа юзера. Секурности юзер данных не добавилось, долгоживущий токен-сессия остался.
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Просто разделили 1 токен на две составляющие, добавили себе гемора с обработкой, а по функционалу получили то же самое, что и сессионный токен.
источник

DA

Dmitriy Alexandrovic... in NodeUA - JavaScript and Node.js in Ukraine
Тогда какие минусы у сессий?
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Dmitriy Alexandrovich
Тогда какие минусы у сессий?
Ну в основном адептам микросервисов религия не позволяет либо сходить в одну базу (сесионную например).
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Либо они пытаются через jwt унифицировать доступ к даным как от юзеров, так и от других микросервисов. Но потом, когда понимают, что jwt для сессий юзеров - так себе решение, то добавляют сессию, называют ее рефреш токеном а свой jwt называют аксес токеном и не дают ему долго жить.
источник

DA

Dmitriy Alexandrovic... in NodeUA - JavaScript and Node.js in Ukraine
Alexander
Либо они пытаются через jwt унифицировать доступ к даным как от юзеров, так и от других микросервисов. Но потом, когда понимают, что jwt для сессий юзеров - так себе решение, то добавляют сессию, называют ее рефреш токеном а свой jwt называют аксес токеном и не дают ему долго жить.
И это работает, но по сути является той же сессией?
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Да, но в добавок мы оставляем данные пользователя в открытом виде в жвт. Поэтому если какому-то нехорошему человеку захочется задампить пользователей, то он спокойно может вытаскивать из того же локалстореджа токен, смотреть кто этот юзер, какие у него права, какой айди. Некоторые вообще в жвт емейл складывают.

Потом с этой готовой базой можно найти, к примеру, админов или интересующих тебя польователей и вытаскивать у них пароли при помощи паяльника
источник

DA

Dmitriy Alexandrovic... in NodeUA - JavaScript and Node.js in Ukraine
Alexander
Да, но в добавок мы оставляем данные пользователя в открытом виде в жвт. Поэтому если какому-то нехорошему человеку захочется задампить пользователей, то он спокойно может вытаскивать из того же локалстореджа токен, смотреть кто этот юзер, какие у него права, какой айди. Некоторые вообще в жвт емейл складывают.

Потом с этой готовой базой можно найти, к примеру, админов или интересующих тебя польователей и вытаскивать у них пароли при помощи паяльника
А если в JWT положить только условный id, а уже на сервере валидировать токен и идти по нему в БД за пользователем?
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Dmitriy Alexandrovich
А если в JWT положить только условный id, а уже на сервере валидировать токен и идти по нему в БД за пользователем?
Это ничего не напоминает?
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Переслано от Dmitriy Alexandrovic...
Понял, спасибо. И получается, что при каждом запросе ходим в БД за данными пользователя?
источник

DA

Dmitriy Alexandrovic... in NodeUA - JavaScript and Node.js in Ukraine
Alexander
Это ничего не напоминает?
Так точно. Просто ищу оправдания своему другу, который не так давно закончил пилить авторизацию на access/refresh токенах.
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Dmitriy Alexandrovich
Так точно. Просто ищу оправдания своему другу, который не так давно закончил пилить авторизацию на access/refresh токенах.
Ну можно в резюме добавить, на гитхаб выложить, чтоб другие видели, мол старался, молодец.
источник

A

Alexander in NodeUA - JavaScript and Node.js in Ukraine
Ну и еще с натяжкой можно придумать следующий сценарий. Но там рефреш токен не нужен.

Если есть некий отдельный сервис авторизации (SSO) и несколько сервисов, на которых с выданным токеном можно ходить.

Так вот, если использовать jwt, то можно не на каждый запрос идти в базу за и проверять не протух ли наш токен, а допустим на каждый 10й. Т.е. 9 раз каждый сервис самостоятельно при помощи своего приватного ключа подтверждает валидность jwt, а на 10й такой запрос он идет в сервис авторизации и проверяет ключ по полной.
источник
2020 April 23

☆Даня☆ in NodeUA - JavaScript and Node.js in Ukraine
Ребят, хочу спросить у вас, есть тут люди которые готовы выделять час времени мне изучая  ноду, я буду за это платить, кто заинтересован нап ишите в личку, а то ответы в гугле я найти не могу
источник

К

Кай in NodeUA - JavaScript and Node.js in Ukraine
А все ж ознайомитись з лекціями не доля?
источник