N
Вы на фронте токены генерите?
с форнта отправляется рефреш токен для генераций новых токенов на беке
Size: a a a
2020 October 11
AG
с форнта отправляется рефреш токен для генераций новых токенов на беке
Да, я знаю, как это работает, просто прочитал, что генерят на фронте.
AG
Только опять таки не понимаю, почему нельзя только рефреш в базе хранить, а сам токен с жизнью в 10 минут, например не сохранять
N
так и надо ведь
AG
так и надо ведь
Да, но Ильшат, вроде не согласен.
N
Да, но Ильшат, вроде не согласен.
линк ми
N
зачем их вообще в базе хранить)
JB
И вопро остается открытым: зачем тогда нужно два токена, почему одним не обойтись?
1 вместо логин/пароль (это аксес), чтобы юзер не вводил их каждый раз, при попытке угнать у хацкера не будет данных таких
А рефреш, чтобы обновить аксесс (чтоб опять же не отдавать логин/пароль)
А если и то и другое угнали, достаточно поменять пароль и тогда рефреш инвалидируется. А итоге хацкер сможет максимум 1-2минуты порадоваться украденным токенам
А рефреш, чтобы обновить аксесс (чтоб опять же не отдавать логин/пароль)
А если и то и другое угнали, достаточно поменять пароль и тогда рефреш инвалидируется. А итоге хацкер сможет максимум 1-2минуты порадоваться украденным токенам
AG
зачем их вообще в базе хранить)
Чтобы можно было разлогинить на всех устройствах, например.
🏡K
Да, но Ильшат, вроде не согласен.
я отозванные рефреши хранил в базе, я не углублялся во все это дело, минимально работающий прототип тока делал
AG
я отозванные рефреши хранил в базе, я не углублялся во все это дело, минимально работающий прототип тока делал
Не утверждал, что ты не прав, просто интересна точка зрения.
🏡K
все это дело с жвт не очень нравится мне, пока забил, может когда нить глубже изучу и ченить замучу или кей клоак руки дойдут привязать
GS
Если jwt хранить в БД, то теряется сам смысл JWT использовать для аутентификации
🏡K
у рефреша длительность жизни 24 часа было, у ацесса 2 минуты
MA
1 вместо логин/пароль (это аксес), чтобы юзер не вводил их каждый раз, при попытке угнать у хацкера не будет данных таких
А рефреш, чтобы обновить аксесс (чтоб опять же не отдавать логин/пароль)
А если и то и другое угнали, достаточно поменять пароль и тогда рефреш инвалидируется. А итоге хацкер сможет максимум 1-2минуты порадоваться украденным токенам
А рефреш, чтобы обновить аксесс (чтоб опять же не отдавать логин/пароль)
А если и то и другое угнали, достаточно поменять пароль и тогда рефреш инвалидируется. А итоге хацкер сможет максимум 1-2минуты порадоваться украденным токенам
Если у вас аксесс токен в базе, то:
1. Вам не нужен JWT
2. Вам не нужен рефреш токен
Классическая схема с одним сессионным токеном в базе вполне надежна. JWT решает проблемы большого количества запросов на авторизацию в микросервисной архитектуре. В остальных случаях он ничего не дает.
1. Вам не нужен JWT
2. Вам не нужен рефреш токен
Классическая схема с одним сессионным токеном в базе вполне надежна. JWT решает проблемы большого количества запросов на авторизацию в микросервисной архитектуре. В остальных случаях он ничего не дает.
JB
Если у вас аксесс токен в базе, то:
1. Вам не нужен JWT
2. Вам не нужен рефреш токен
Классическая схема с одним сессионным токеном в базе вполне надежна. JWT решает проблемы большого количества запросов на авторизацию в микросервисной архитектуре. В остальных случаях он ничего не дает.
1. Вам не нужен JWT
2. Вам не нужен рефреш токен
Классическая схема с одним сессионным токеном в базе вполне надежна. JWT решает проблемы большого количества запросов на авторизацию в микросервисной архитектуре. В остальных случаях он ничего не дает.
+++
N
Чтобы можно было разлогинить на всех устройствах, например.
зачем хранить токен в базе?
DB
кто-то нестом принимает application/x-www-form-urlencoded? я так понимаю, из коробки он не умеет в десериализацию?
Помнится у меня тоже была похожая проблема.
N
зачем хранить токен в базе?
ладно забей
AG
зачем хранить токен в базе?
Либо блэклист, либо вайтлист надо иметь.