В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebSec

115 membersпожаловаться на группу
2018 May 05

DZ

Dmitry Zakharov in WebSec
Ну авторизацию можно сделать через jwt
источник
20:23пожаловаться#1

🦉⁣

🦉 ⁣ in WebSec
Dmitry Zakharov
Ну авторизацию можно сделать через jwt
Но не значит нужно
источник
20:25пожаловаться#2

DZ

Dmitry Zakharov in WebSec
🦉 ⁣
Но не значит нужно
Вопрос религиозный, так то кому как нравится
источник
20:35пожаловаться#3

🦉⁣

🦉 ⁣ in WebSec
Dmitry Zakharov
Вопрос религиозный, так то кому как нравится
Нет
источник
20:36пожаловаться#4

DZ

Dmitry Zakharov in WebSec
🦉 ⁣
Нет
Я сессии не юзаю) у меня SPA. Я юзаю jwt и все ок. OWASP реализация jwt помогает решать все проблемы
источник
20:37пожаловаться#5

🦉⁣

🦉 ⁣ in WebSec
Dmitry Zakharov
Я сессии не юзаю) у меня SPA. Я юзаю jwt и все ок. OWASP реализация jwt помогает решать все проблемы
Это не значит что проблем не будет
источник
20:37пожаловаться#6

🦉⁣

🦉 ⁣ in WebSec
источник
20:38пожаловаться#7

DZ

Dmitry Zakharov in WebSec
🦉 ⁣
Это не значит что проблем не будет
Ну вообще риск всегда есть у всех подходов
источник
20:38пожаловаться#8

DZ

Dmitry Zakharov in WebSec
🦉 ⁣
Я юзаю REST, а это не о сессиях
источник
20:38пожаловаться#9

DZ

Dmitry Zakharov in WebSec
И эта картинка устарела
источник
20:39пожаловаться#10
2018 May 08

🦉⁣

🦉 ⁣ in WebSec
Dmitry Zakharov
И эта картинка устарела
Почему это
источник
04:53пожаловаться#11

🦉⁣

🦉 ⁣ in WebSec
Dmitry Zakharov
Я юзаю REST, а это не о сессиях
И при чем тут рест?
источник
04:53пожаловаться#12

🦉⁣

🦉 ⁣ in WebSec
Один хрен токен надо как-то инвалидировать
источник
04:54пожаловаться#13

🦉⁣

🦉 ⁣ in WebSec
Если добавлять к подписи соль, то соль также нужно хранить где-то
источник
04:54пожаловаться#14

🦉⁣

🦉 ⁣ in WebSec
Короче все те же проблемы
источник
04:54пожаловаться#15

🦉⁣

🦉 ⁣ in WebSec
Оверинжиниринг
источник
04:54пожаловаться#16

🦉⁣

🦉 ⁣ in WebSec
Ради модного слова
источник
04:54пожаловаться#17

DZ

Dmitry Zakharov in WebSec
🦉 ⁣
Один хрен токен надо как-то инвалидировать
Хранишь хеш токена в базе с айди юзера, делаешь метод на revoke и ревокаешь токены, без проблем для всех и если у тебя валидный токен, но в базе ревокнут - показываешь 403
источник
08:04пожаловаться#18

DZ

Dmitry Zakharov in WebSec
Я говорю картинка устарела. Но если ты против jwt, то давай спор остановим) каждый при своем мнении
источник
08:05пожаловаться#19

🦉⁣

🦉 ⁣ in WebSec
Dmitry Zakharov
Хранишь хеш токена в базе с айди юзера, делаешь метод на revoke и ревокаешь токены, без проблем для всех и если у тебя валидный токен, но в базе ревокнут - показываешь 403
Собственно жвт и не нужен
источник
11:06пожаловаться#20