AY
(у меня и так куски конфига балансеров лежат в консуле, это не усложнение, десяток строк сверху и все)
Ну и бан происходит пару раз в год.
А сессии из редиса каждые пару мс вытаскивать.
Size: a a a
2020 July 15
x
А преимущества-то какие вам даёт JWT в данном случае в сравнении с обычными токенами сессий в базе?
AY
если сходу, то
не нужна общая база между несколькими сервисами
не нужна общая база между несколькими сервисами
x
Ну консул-то общий между несколькими сервисами есть, если я правильно понял вашу схему?
AY
есть разница между "держать токены в базе" и "добавить костыль на отзвы", который крайне редко случается и иногда вообще не нужен
AY
(если что я не фанат jwt, он просто решает ряд вопросов)
тут все началось с того, что я отметил фейспалм в 99% туториалов по jwt
тут все началось с того, что я отметил фейспалм в 99% туториалов по jwt
AY
С jwt есть нюанс - как будете отзывать? У каждого свой подход. Я про свой рассказал. В общем вопросов не понял.
x
Я правильно понимаю, вы отозванные токены храните в консуле?
AY
Да. Потому что так проще всего.
AY
Выше сказал - отзыв проще делать на уровне api gateway
x
При этом токены отзываются крайне редко, поэтому JWT в вашем случае позволяет избежать хранения токенов доступа в БД?
AY
jwt позволяет не делать лишних запросов. Т.е делать
if (payload.role == 'manager') {
createPost(user_id: payload.user_id, ...other data)
}
без загрузки пользователя, его прав и тп
if (payload.role == 'manager') {
createPost(user_id: payload.user_id, ...other data)
}
без загрузки пользователя, его прав и тп
AY
если нужно грузить данные пользователя, то смысла в jwt нет, вот есть сессии, токены в базе и тп
AY
если нужно грузить данные пользователя, то смысла в jwt нет, вот есть сессии, токены в базе и тп
смысла нет, но это в большей части туториалов показано как пример использования 🤦♂️
x
То есть вы все нужные данные в нагрузке передаёте и в базу для получения пользовательских данных (необходимых для авторизации) не стучитесь вообще?
AY
Да, это и есть смысл jwt по большей части
x
Господи, да я знаю, в чём смысл JWT) Меня интересует именно ваш кейс, потому что очень смутно вы описали всё
x
В целом всё понятно, и я согласен с вами.
Одно не понятно, как вы отзываете токены, если вы их нигде не храните? Что в стоплисте является идентификатором, по которому вы понимаете, что пришедший токен — отозванный.
Вы там про какой-то костыль говорили на уровне шлюза, но из описания ничего не понятно.
Одно не понятно, как вы отзываете токены, если вы их нигде не храните? Что в стоплисте является идентификатором, по которому вы понимаете, что пришедший токен — отозванный.
Вы там про какой-то костыль говорили на уровне шлюза, но из описания ничего не понятно.
AY
В целом всё понятно, и я согласен с вами.
Одно не понятно, как вы отзываете токены, если вы их нигде не храните? Что в стоплисте является идентификатором, по которому вы понимаете, что пришедший токен — отозванный.
Вы там про какой-то костыль говорили на уровне шлюза, но из описания ничего не понятно.
Одно не понятно, как вы отзываете токены, если вы их нигде не храните? Что в стоплисте является идентификатором, по которому вы понимаете, что пришедший токен — отозванный.
Вы там про какой-то костыль говорили на уровне шлюза, но из описания ничего не понятно.
как хранить сами токены то? они каждый раз разные. не меняется только payload