AY
то есть у вас просто просто приходит jwt в хедере и этого достаточно?
да, это смысл jwt
Size: a a a
2020 July 15
AY
положить туда userid, role и еще доп данные, чтобы ими пользоваться
АЗ
дак значит всё-таки берете из jwt пейлоад, то бишь декодируете его, то бишь проверяете валидность
AY
конечно. замечание было про то, что в пайлоаде хранят только userid и остальное все равно каждый раз тащат из базы
А
blacklist (фу расизм 😄) на payload jwt токена из хедера
Но это ведь тоже постоянная проверка, да и к тому же записи в блеклист (фу расизм) таблице копиться начинают
АЗ
и если ты делаешь везде
payload = decodeJwt()
user = getUserFromDb(payload.id)
то тебе тоже не нужен jwt 😁
payload = decodeJwt()
user = getUserFromDb(payload.id)
то тебе тоже не нужен jwt 😁
просто тут так расплывачато было, я не очень понял
AY
Но это ведь тоже постоянная проверка, да и к тому же записи в блеклист (фу расизм) таблице копиться начинают
в таблице на время жизни токена. у меня на практике там было макс 10-15 штук.
АЗ
ну вот это уже явно что-то не то, в самом токене можно указать время его жизни и при декодировании будет видно истек он или нет.
АЗ
у вас получается декодирование и еще сравнение
AY
ну вот это уже явно что-то не то, в самом токене можно указать время его жизни и при декодировании будет видно истек он или нет.
есть у человека jwt на 7 дней. Вы его забанили через 1 день. Без механизма отзывов он будет еще 6 дней ходить куда ненадо
AY
или механизм отзыва токенов
или проверять права каждый раз, тогда jwt нафиг не нужен в принципе
или проверять права каждый раз, тогда jwt нафиг не нужен в принципе
АЗ
ну, здесь да, проблемки
AY
у вас получается декодирование и еще сравнение
сделать split и сравнение или даже split/base64decode/jsonparse это просто.
боль возникает если куча сервисов и везде это нужно. Решается выносом логики на api gateway/L7 балансер и тп. Будет в одном месте.
боль возникает если куча сервисов и везде это нужно. Решается выносом логики на api gateway/L7 балансер и тп. Будет в одном месте.
AY
Но такое редко нужно, у меня почти все e-commerce. Пофиг, что забанный человек поменяет пароль или сделает заказ, операторы все равно его отклонят 😄
x
JWT + отзыв через стоплист — это те же сессии только с дополнительным оверхедом на кодирование/декодирование.
AY
JWT + отзыв через стоплист — это те же сессии только с дополнительным оверхедом на кодирование/декодирование.
нет, мне не нужен редис на пару гигов для сессий)
AY
+1 юнит на поддержку и тп
x
Плюс упавший редис и обнулившийся стоплист.
AY
в смысле стоплист в редисе? не, в консуле)
AY
и при правках генерится новый конфиг балансера с новым листом. Там нет запросов.