AC
Уже обсуждали тут - суть jwt в том что токен можно проверить не ходя в базу прямо на месте
Size: a a a
2020 June 21
AC
Если ты в процессе проверки токена читаешь что-то из базы - нет смысла в нем кодировать что-то - можно то же самое вычитать из базы а сам токен заменить на рандомную строку
AC
Что делаете когда токен надо обнулить раньше времени? Например, юзер поменял пароль, или запросил, чтобы сессии кончились на других девайсах
Токены покороче делать и обнулить refresh token
AC
Н
Уже обсуждали тут - суть jwt в том что токен можно проверить не ходя в базу прямо на месте
Все таки ходить в базу надо, чтобы проверить удален/забанен. как я понимаю, их применять стоит в микросервисах: чекнули в сервисе авторизации, что юзер активен, и потом в другие сервисы передаем уже JWT-токен
IG
Можно не лезть в базу, а брать пользователя из кэша. Если нет там, тогда читать базу и записывать в кеш. На изменение в базе повесить инвалидацию кеша.
Н
Можно не лезть в базу, а брать пользователя из кэша. Если нет там, тогда читать базу и записывать в кеш. На изменение в базе повесить инвалидацию кеша.
В каком месте его с кэша тянуть?
IG
на старте запроса.
IG
просто непонятно, как быть, если пользователь изменился в базе, и в токене старые данные
Н
просто непонятно, как быть, если пользователь изменился в базе, и в токене старые данные
В том то и дело
PP
Да ну. Кэш в этом ключе тоже база.
Если нужно гарантированно перекрывать доступ по желанию левой пятки авторизующего сервера, JWT чуть более чем бесполезен.
Если нужно гарантированно перекрывать доступ по желанию левой пятки авторизующего сервера, JWT чуть более чем бесполезен.
PP
Обычный сценарий для JWT – это access token живёт недолго, зато неотзываемый. А refresh token живёт долго, но для его использования надо обращаться на авторизующий сервер, поэтому отозвать его уже технически несложно.
PP
Любые обращения для немедленной авторизации, будь то в кэш, в базу или на другой сервис, практически убивают идею разделения на access и refresh. Примерно как если бы TTL access token был меньше секунды.
S
Это вообще какая-то повальная ошибка начинать лазить в базу. Не довелось еще увидеть нормально внедренный jwt
AC
Это вообще какая-то повальная ошибка начинать лазить в базу. Не довелось еще увидеть нормально внедренный jwt
Потому что юзкейсы не для jwt изначально
AC
Можно не лезть в базу, а брать пользователя из кэша. Если нет там, тогда читать базу и записывать в кеш. На изменение в базе повесить инвалидацию кеша.
База не база суть в том что jwt самодостаточен и не требует похода куда-то для проверки
KR
ну проблема в инвалидации этого токена
PP
Access token в JWT не инвалидируется никак, кроме истечения прописанного в нём же времени жизни.
PP
...зато из-за этого их время жизни обычно прописывается весьма коротким. Amazon Cognito и Azure AD, насколько я знаю, дают час.
AL
...зато из-за этого их время жизни обычно прописывается весьма коротким. Amazon Cognito и Azure AD, насколько я знаю, дают час.
more like 5 mins