МК
Да, это должно быть в плаге, а настройка времени отдельной куки должна быть во фреймворке
если не секрет, кому?
Size: a a a
2020 March 16
МК
пишешь отдельный плаг на эту тему и готово, вы восхитительны
V
Вам дали механизм хранения сессии, сняв с вас головняк по написанию логики обработки кукисов. Но нет, вы недовольны.
AB
…и пользуетесь им без уважения
V
Время устаревания отдельной куки никак не решит проблему достоверности сессии, потому что я могу отправить позапрошлогоднюю куку сегодня, вручную собрав запрос.
M
Слово за слово, и так мы пришли к JWT
ŹR
V
Время устаревания отдельной куки никак не решит проблему достоверности сессии, потому что я могу отправить позапрошлогоднюю куку сегодня, вручную собрав запрос.
Что?
ŹR
Браузер удалит куку с вышедшим временем жизни. А если злоумышленник получил доступ к куке - то он может постоянно слать GET / для продления времени жизни и так
ŹR
То же самое с jwt
ŹR
Если ты отдал свою куку или jwt - то о какой достоверности вообще идет речь?
ŹR
Между кукой и jwt впрочем есть разница
ŹR
Куку браузер удалит. А вот jwt - нет
ŹR
Правда я не знаю, как это поможет злоумышленникам
SM
Кука и JWT — понятия ортогональные. Можно JWT хранить/передавать в куке.
M
Кука и JWT — понятия ортогональные. Можно JWT хранить/передавать в куке.
Кстати, а как их можно передавать вне куки? Всегда было интересно
SM
Кстати, а как их можно передавать вне куки? Всегда было интересно
Заголовок, path/query/body-параметр
SM
А хранить можно в local storage
M
А чуть подробнее можно, в общих чертах? Это всё храниться на сервере и по ID клиента передается в браузер, или как?
SM
А чуть подробнее можно, в общих чертах? Это всё храниться на сервере и по ID клиента передается в браузер, или как?
Не понял вопрос.
SM
Можешь хранить на сервере, можешь не хранить, зависит от задачи и требований.