Да

Не обязательнь, можно кешировать в памяти и хеши паролей и токены сессий

В стартер ките кешируютмя токены, но не хеши

А что скажете про систему access/refresh токенов?

Для чего? Вот двухфакторная имеет смысл

А толку от неё? Рефреш токен по сути долгоживущая рандомная стринга. В аксес токен зашита инфа юзера. Секурности юзер данных не добавилось, долгоживущий токен-сессия остался.

Просто разделили 1 токен на две составляющие, добавили себе гемора с обработкой, а по функционалу получили то же самое, что и сессионный токен.

Тогда какие минусы у сессий?

Ну в основном адептам микросервисов религия не позволяет либо сходить в одну базу (сесионную например).

Либо они пытаются через jwt унифицировать доступ к даным как от юзеров, так и от других микросервисов. Но потом, когда понимают, что jwt для сессий юзеров - так себе решение, то добавляют сессию, называют ее рефреш токеном а свой jwt называют аксес токеном и не дают ему долго жить.

И это работает, но по сути является той же сессией?

Да, но в добавок мы оставляем данные пользователя в открытом виде в жвт. Поэтому если какому-то нехорошему человеку захочется задампить пользователей, то он спокойно может вытаскивать из того же локалстореджа токен, смотреть кто этот юзер, какие у него права, какой айди. Некоторые вообще в жвт емейл складывают.

Потом с этой готовой базой можно найти, к примеру, админов или интересующих тебя польователей и вытаскивать у них пароли при помощи паяльника

А если в JWT положить только условный id, а уже на сервере валидировать токен и идти по нему в БД за пользователем?

Это ничего не напоминает?

Понял, спасибо. И получается, что при каждом запросе ходим в БД за данными пользователя?

Так точно. Просто ищу оправдания своему другу, который не так давно закончил пилить авторизацию на access/refresh токенах.

Ну можно в резюме добавить, на гитхаб выложить, чтоб другие видели, мол старался, молодец.

Ну и еще с натяжкой можно придумать следующий сценарий. Но там рефреш токен не нужен.

Если есть некий отдельный сервис авторизации (SSO) и несколько сервисов, на которых с выданным токеном можно ходить.

Так вот, если использовать jwt, то можно не на каждый запрос идти в базу за и проверять не протух ли наш токен, а допустим на каждый 10й. Т.е. 9 раз каждый сервис самостоятельно при помощи своего приватного ключа подтверждает валидность jwt, а на 10й такой запрос он идет в сервис авторизации и проверяет ключ по полной.

Ребят, хочу спросить у вас, есть тут люди которые готовы выделять час времени мне изучая  ноду, я буду за это платить, кто заинтересован нап ишите в личку, а то ответы в гугле я найти не могу

А все ж ознайомитись з лекціями не доля?