A
Ребята обьясните простыми словами когда нужно использовать @Modelattribute? Над методом и когда в параметрах
Size: a a a
2020 March 15
Ar
Бредом? Имя файла проверь
OD
Ослеп к вечеру(
V
stateless - приходит JWT чекаем подпись, если верна юзаем payload
А как быть с sensetive data. Обычно пейлоад не зашифрован, а просто закодирован и никакой приватной информации там передовать нельзя.
YG
Vadim
А как быть с sensetive data. Обычно пейлоад не зашифрован, а просто закодирован и никакой приватной информации там передовать нельзя.
Например, что вы хотите передавать в JWT?
Сам коннект естественно зашифрован TLS
Сам коннект естественно зашифрован TLS
V
Например, что вы хотите передавать в JWT?
Сам коннект естественно зашифрован TLS
Сам коннект естественно зашифрован TLS
Да не важно, любую приватную инфу. Токен не может быть украден?
VS
А зачем приватную инфу в токене хранить?
YG
Vadim
Да не важно, любую приватную инфу. Токен не может быть украден?
А какая вообще альтернатива не очень понятно? Все равно же TLS, весь траффик шифруется. Что вы еще хотите шфировать и зачем?
YG
Если вы про инфу которая должна быть только на сервере, так ее не нужно класть в JWT. Если вы хотите положить такую инфу в JWT вы неправильно поняли смысл жвт
V
Как-то сталкивался с тем, что люди хотели положить в пейлоад какую-то приватную инфу, т.к. думали, что пейлоад зашифрован. Деталей не помню. Я возможно не прав, но мне казалось, что есть jwt токены с именно зашифрованным пейлоадом. Я и хотел разобраться, какие тут бестпрактис. Я так понимаю, что бестпрактис, это просто ничего приватного в пейлоаде не передавать.
Д
Vadim
Как-то сталкивался с тем, что люди хотели положить в пейлоад какую-то приватную инфу, т.к. думали, что пейлоад зашифрован. Деталей не помню. Я возможно не прав, но мне казалось, что есть jwt токены с именно зашифрованным пейлоадом. Я и хотел разобраться, какие тут бестпрактис. Я так понимаю, что бестпрактис, это просто ничего приватного в пейлоаде не передавать.
Ну сам jwt угнать можно, и пользуясь им можно получить необходимую инфу пока он не заэкспайрился
YG
Дмитрий
Ну сам jwt угнать можно, и пользуясь им можно получить необходимую инфу пока он не заэкспайрился
Как и любой другой токен) JWT он чисто про stateless, все
Д
Как и любой другой токен) JWT он чисто про stateless, все
Ну да)
V
Дмитрий
Ну сам jwt угнать можно, и пользуясь им можно получить необходимую инфу пока он не заэкспайрился
Это понятно. У меня вопрос про пейлоад самого токена. Там категорически нельзя хранить приватную инфу или можно, но при этом надо использовать токен с зашифрованным пейлоадом. Так понимаю, что необходимости хранить что-то приватное особо у людей не возникает.
V
я работал в довольно большой компании с известными сайтами и у них токены, например, вообще не экспайрились. Люди там были умные, но вот почему-то так сделали. Это я к тому, что с jwt-токенами по-разному работают.
YG
Vadim
я работал в довольно большой компании с известными сайтами и у них токены, например, вообще не экспайрились. Люди там были умные, но вот почему-то так сделали. Это я к тому, что с jwt-токенами по-разному работают.
Ну мб цена потери токена там не такая высокая и запариваться делать с экспайрингом просто нет смысла
M
Vadim
Это понятно. У меня вопрос про пейлоад самого токена. Там категорически нельзя хранить приватную инфу или можно, но при этом надо использовать токен с зашифрованным пейлоадом. Так понимаю, что необходимости хранить что-то приватное особо у людей не возникает.
что ты имеешь ввиду под "приватной инфой" ? )))
Д
Vadim
Это понятно. У меня вопрос про пейлоад самого токена. Там категорически нельзя хранить приватную инфу или можно, но при этом надо использовать токен с зашифрованным пейлоадом. Так понимаю, что необходимости хранить что-то приватное особо у людей не возникает.
Ну расшифровать его без ключа особо не получится, другой вопрос - что тогда и на клиенте ничего не получить,а значит и смысла гонять его на клиент с таким пэйлоадом нет
V
Дмитрий
Ну расшифровать его без ключа особо не получится, другой вопрос - что тогда и на клиенте ничего не получить,а значит и смысла гонять его на клиент с таким пэйлоадом нет
да легко. Его не надо расшифрововать, пейлод просто закодирован, его содержимое может раскодировать любой желающий — ключ не нужен
V
что ты имеешь ввиду под "приватной инфой" ? )))
да хз, пусть будет пароль )