IG
ну это понятно, выставил флаги в настройках и ладушки
Size: a a a
2021 October 04
PP
Речь скорее о том, что других настолько же безопасных механизмов хранения кредов в браузере как бы и... нету.
PP
Поэтому JWT и куки нередко комбинируют о_о
AL
А почему нельзя куки точно так же перевыставлять как и JWT?
AC
А в какой момент времени это делать? Закрыл ноут на выходные, куки протухли с данными вместе..
AC
Тут и нужен рефреш-токен
AL
Ну ты можешь тот же JWT сунуть в куки
FB
Очень неплохая. Особенно для междоменного обмена, там где куки просто работать не будут (например внешний sso)
AL
С каким хочешь экспайром
AL
Эдак можно и на CSRF напороться
FB
Обязательно! Без этого никак
AC
Дык csrf вроде как не про авторизацию
AC
еще и CORS есть :)))
FB
Авторизация запроса, сверка csrf tokens
AC
В этом смысле - да, авторизация, но только запроса, а не пользователя
FB
Ну да, разумеется
VL
оке, давайте спрошу по другому,
для сессий JWT лучше простого токена в http only куке?
для сессий JWT лучше простого токена в http only куке?
VL
вопрос с подколом, есть целый телеграмм канал где автор собирают статьи - критику данного подхода
IG
Мне кажется, JWT это банальный оверинжениринг