В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Java/Kotlin and more

1821 membersпожаловаться на группу
2021 June 25

A

Amir in Java/Kotlin and more
Ну вот рефреш хранится как раз в БД у меня.
А как тогда понять в каком случае удалить украденный рефреш?

Какая-то проверка на подозрительную активность должна быть реализована, где юзеру будет предложено выполнить некие действия по удалению этого токена?
источник
15:43пожаловаться#1

C

Cyclone in Java/Kotlin and more
Вы сделали jwt, чтобы не ходить в базу, и теперь ходите в базу, чтобы проверять jwt. )
источник
15:43пожаловаться#2

VS

Vitaly Sirotkin in Java/Kotlin and more
Ну тут уж либо секьюрити либо удобство)
источник
15:44пожаловаться#3

RS

Ruslan Stelmachenko in Java/Kotlin and more
не, это я больше про случай, когда ты сам понял, что украли рефреш токен и хочешь, чтобы он перестал работать. обычно у юзера есть доступ к этому через некое меню "мои устройства", "мои сессии" и т.п.

и он может любое из них "удалить".
источник
15:44пожаловаться#4

КП

Кирилл П in Java/Kotlin and more
не вижу в этом ниче такого если это редис какой-то
источник
15:45пожаловаться#5

КП

Кирилл П in Java/Kotlin and more
это протеворечит концепции jwt?
источник
15:45пожаловаться#6

A

Amir in Java/Kotlin and more
Ага, понял
Благодарю!
источник
15:45пожаловаться#7

КП

Кирилл П in Java/Kotlin and more
и
источник
15:45пожаловаться#8

EA

Evil Arthas in Java/Kotlin and more
а ну да
источник
15:45пожаловаться#9

EA

Evil Arthas in Java/Kotlin and more
ну я стрим оставлю, когда читаешь аж приятно
источник
15:45пожаловаться#10

RS

Ruslan Stelmachenko in Java/Kotlin and more
именно. но для рефреш токенов в принципе это приемлемый компромисс.
т.к. база намного легче, там ведь только блеклисты хранятся - и то, только до момента экспайр-даты данного токена - потом можно из блеклиста его удалить, т.к. он уже и так эспайред.

такую БД уже можно в редис например засунуть, т.к. она будет довольно небольшая
источник
15:46пожаловаться#11

A

Amir in Java/Kotlin and more
И ещё такой вопрос, раз уж тема jwt затронута.

Logout юзера реализован у меня с блэк листом jwt token-а.

Это нормальная практика?
Либо есть ещё какие-то альтернативы?
источник
15:47пожаловаться#12

C

Cyclone in Java/Kotlin and more
попроси юзера/программу юзера удалить у себя токен )
источник
15:48пожаловаться#13

A

Amir in Java/Kotlin and more
Удалить jwt нельзя
источник
15:48пожаловаться#14

A

Amir in Java/Kotlin and more
Он же не хранится на сервере )
источник
15:48пожаловаться#15

RS

Ruslan Stelmachenko in Java/Kotlin and more
альтернатива - просто забыть токен на устройсве) на сервере ничего не делать.
access_token обычно живет 5-30 мин

конечно, если это банковское приложение, то там другие правила
источник
15:49пожаловаться#16

AL

Aleksander Lemyagov in Java/Kotlin and more
так удалить на клиенте. он 100% где-то хранится на клиенте.
источник
15:49пожаловаться#17

A

Amir in Java/Kotlin and more
Ну удалить на клиенте не значить что он будет не Валиден
источник
15:49пожаловаться#18

AL

Aleksander Lemyagov in Java/Kotlin and more
Раз уж тема JWT.  Remember Me имеет смысл делать?
источник
15:50пожаловаться#19

AL

Aleksander Lemyagov in Java/Kotlin and more
если он удален на клиенте - его никто не узнает.
источник
15:50пожаловаться#20