BT
супер. но изначально я не это спрашивал.
из твоего сообщения понятно только это
Size: a a a
2020 March 12
КГ
jwt и база данных никак не должны быть связаны
А как revoke токенов тогда делать?
DM
jwt sux
SP
А как revoke токенов тогда делать?
Не делать, держать в базе сессию (да тогда тебе не нужен jwt если без отдельного сервера для сессий ) ревоукать ее. Если надо срочно - банить юзера
SP
Срочно обычно ревоук делать не надо
k
А как revoke токенов тогда делать?
@why_jwt_is_bad
и можно ещё в чатиках погрепать по jwt
и можно ещё в чатиках погрепать по jwt
c
@why_jwt_is_bad
и можно ещё в чатиках погрепать по jwt
и можно ещё в чатиках погрепать по jwt
из той группы
Народ, кто юзает JWT — вы вообще в курсе, что он по спеке при проверке токена (то есть до подверждения его валидности) ходит по урлам, указанным в этом токене?
речь об rfc? где об этом почитать?
Народ, кто юзает JWT — вы вообще в курсе, что он по спеке при проверке токена (то есть до подверждения его валидности) ходит по урлам, указанным в этом токене?
речь об rfc? где об этом почитать?
AK
гы-гы, что-то композер перебрал 😂
DM
я вообще тут встретил единственный интересный кейс использовования jwt где он более-менее оправдан
DM
генерация ссылок для просмотра закрытого видеоконтента на видеохостингах, если онный такую возможность предоставляет
DM
ага, а так же ротировать ключ, ибо не дай бог он утечет, а лучше вообще в отдельный сервис... а профит то какой? ну разве время ответа несколько мс экономить
DM
так се профит
SP
Профит от jwt и прочих hmac когда у тебя за сессии отдельная шляпа отвечает
SP
Отличный пример использования hmac - авторизация в docker registry и авторизация в centrifigo
DM
так почему бы всем в эту шляпу и не ходить
DM
всем сервисам