VO
Хм...Интересная коцепция, тойсть по сути его данные это доступ к его же почте, а у себя в тупо храню e-mail.
Size: a a a
2019 May 05
AO
вход на сайт - это переход по одноразовой ссылке, которую прислали на почту
AO
человек вводит почту, получает ссылку, переходит по ней и он в системе
AO
если включён второй фактор - то ещё нужно ввести код из приложения на телефоне, например)
VO
кто хочет - да, кнопку выйти можно оставить, а при отсуствии активности "спящий режим" и какой-нибудь пароль, но это защита "от дурака"
В этом и проблема на госах там требования по ИБ шаблоные и им плевать, поэтому приходится костылить. Как пример(Если интересно):
1) Смена пароля через Х дней
2) Принудительная установка нового пароля при первом входе
3) Разлогинить если нет активности Х секунд
4) Не использовать пароль котоырй уже когда то использовался и тп
1) Смена пароля через Х дней
2) Принудительная установка нового пароля при первом входе
3) Разлогинить если нет активности Х секунд
4) Не использовать пароль котоырй уже когда то использовался и тп
AO
про госы не знаю) ну, раз требуют - надо сделать)
VO
А JWT это преимущественно мобильная движуха (На ваш взгляд)?
AO
А JWT это преимущественно мобильная движуха (На ваш взгляд)?
нет, JWT - это светлое будущее, к которому все рано или поздно придут, это светлое будущее задерживают проблемы с безопасностью npm пакетов
AO
использование httpOnly cookies сейчас выглядит безопаснее из-за этого
AO
но рано или поздно всё равно все придут к JWT или чему-нибудь аналогичному
AO
обычные сессии "переизобрели" на JWT из-за микросервисной архитектуры
VO
Мне только с точки зрения ИБ не нравится что нельзя отозвать токен, вводить редис для блеклиста получается и каждый раз проверять
AO
Мне только с точки зрения ИБ не нравится что нельзя отозвать токен, вводить редис для блеклиста получается и каждый раз проверять
ну вот через блеклисты
AO
это в общем-то решение
VO
Я написал все с JWT но на вопросе как принудительно сменить пароль не нашел(Нагулил\придумал) решения с JWT. Так как войдя в систему пользователь может забрав токен использовать доступные end points
VO
Да и локально получается нужно всеравно хранить токены которые в черном списке и не кончился срок действия, иначе при падении сервер они будут активны.
АН
это руби?
Да руби как такое на питоне сделать?
m
Александр Ниткин
Ребята как сделать такую сортировку на питоне ?
x=["apple", "r", "C#", "cobol"]
x.max(2){|c,v| c.to_s.size<=>v.to_s.size}Врядли там сортировка происходит
m
Ибо зачем?
AO
Я написал все с JWT но на вопросе как принудительно сменить пароль не нашел(Нагулил\придумал) решения с JWT. Так как войдя в систему пользователь может забрав токен использовать доступные end points
в случае с JWT ты можешь отправлять запрос по API в случае неактивности, делающий выход с сайта