В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Go-go!

4966 membersпожаловаться на группу
2021 June 17

ВС

Владимир Столяров... in Go-go!
Видимо просто в переменной, но это странно как-то
Обычно же присылается access и refresh. Если access протух, генерируется новая пара и заменяет старую
Если refresh протух, извольте заново залогиниться
источник
22:41пожаловаться#1

Т

Тоха in Go-go!
Я так понимаю, что смысл в том, чтобы их нельзя было извлечь или поменять, в куках то они доступны
источник
22:43пожаловаться#2

Т

Тоха in Go-go!
Как защитить токен от изменения на стороне клиента?
источник
22:43пожаловаться#3

ВС

Владимир Столяров... in Go-go!
Использовать jwt
источник
22:44пожаловаться#4

ВС

Владимир Столяров... in Go-go!
Но тут тоже надо не наколоться и сразу тестировать на alg=none и замену ассиметричного алгоритма симмеиричным
источник
22:45пожаловаться#5

RS

Roman Sharkov in Go-go!
https://play.golang.org/p/76DlH8CMfiH

планировщик с функционалом проматывания времени 😀
источник
22:46пожаловаться#6

Т

Тоха in Go-go!
Что такое alg=none
источник
22:46пожаловаться#7

ВС

Владимир Столяров... in Go-go!
Смотреть например тут https://cyberpolygon.com/ru/materials/security-of-json-web-tokens-jwt/
источник
22:48пожаловаться#8

VY

Vladislav Yarmak in Go-go!
в local storage обычно хранят
источник
22:50пожаловаться#9

VY

Vladislav Yarmak in Go-go!
куки тут не особо подходят
источник
22:51пожаловаться#10

Т

Тоха in Go-go!
Спасибо
источник
22:53пожаловаться#11

ВС

Владимир Столяров... in Go-go!
И при первой же xss на сайте токен оттуда спокойно угоняется
источник
22:54пожаловаться#12

VY

Vladislav Yarmak in Go-go!
а куки нет?
источник
22:56пожаловаться#13

ВС

Владимир Столяров... in Go-go!
При httpOnly нет
источник
22:58пожаловаться#14

ВС

Владимир Столяров... in Go-go!
Даже в owasp об этом прямо говорится https://cheatsheetseries.owasp.org/cheatsheets/HTML5_Security_Cheat_Sheet.html#local-storage
источник
22:59пожаловаться#15

VY

Vladislav Yarmak in Go-go!
а причём тут http-only, если оно должно быть доступно фронтенду?
источник
23:00пожаловаться#16

ВС

Владимир Столяров... in Go-go!
Просто я вопрос понял как "надо, чтобы фронтенд мог отправить токен в запросе", а уж где он там конкретно лежит, дело другое
источник
23:01пожаловаться#17
2021 June 18

A

Artem in Go-go!
для этого время жизни токена делают около 15 минут и добавляют рефреш токен (обычно он хранится в локал стораж), а токен доступа хранят в httpOnly куке, но обязательно рефреш токена должен происходить по токену и рефреш токену, тогда, украв один из токенов, обновить его не получится, а если своруют токен доступа, то он скоро станет невалидным
источник
00:48пожаловаться#18

АК

Александр Костюченко... in Go-go!
в чем проблема оба токена хранить в куках?)
источник
00:56пожаловаться#19

АК

Александр Костюченко... in Go-go!
да и наоборот - рефреш токен - в куках, а обычный токен в сторейдже)
источник
00:56пожаловаться#20