НС
Это могут быть куки в браузерах в простейшем случае, может быть бд если консьюмер — сервер.
Size: a a a
2018 May 31
НС
Как ты их передаёшь — тоже зависит от юзкейса. Куки в хттп норм, заголовки в хттп тоже норм, например.
НС
OAuth тот же.
НС
Он тоже сессии
НС
когда проектируешь REST API нужно использовать куки?
Больше того, как ты собрался тот же рейтлимит делать для жвт?
НС
Не реимплементя при этом сервер-сайд сессии
НС
Как только ты сделаешь стейт на сервере - тебе уже всё равно, жвт там у тебя или тупо токен. А без стейта на сервере жизни нет.
И жвт имеет минусы при отзыве.
Не говоря уже о том, что ещё и реализация идеи в конкретно жвт ужасна.
И жвт имеет минусы при отзыве.
Не говоря уже о том, что ещё и реализация идеи в конкретно жвт ужасна.
НС
@pumano посмотри на Твиттер, дропбокс, гуголь, ВК, гитхаб, телеграм, форскварь, нпм, вот этих всех. Да на кого угодно.
Посмотри на то, как они сделали апи.
Посмотри на то, как они сделали апи.
DZ
у них oauth в основном
DZ
но oauth можно сделать с jwt
НС
у них oauth в основном
Ну вот и хорошо!
НС
но oauth можно сделать с jwt
На голом жвт - нельзя.
А жвт со стейтом на сервере - бесполезно, и даже вредно.
А жвт со стейтом на сервере - бесполезно, и даже вредно.
НС
Это не даёт никаких плюсов перед просто токеном.
НС
Но даёт пачку проблем.
DZ
ок, твой поинт я понял
DZ
против oauth я ничего не имею)
НС
Я сейчас ещё простыню форвардну, если ты её не видел.
DZ
видел
DZ
если ты про ту старую
DZ