JB
Либо блэклист, либо вайтлист надо иметь.
Ну это я решаю через поле алч blocked: boolean
Size: a a a
2020 October 11
JB
А токены/сессии использую там, где нужно вести и показывать журнал действий юзера
GS
зачем хранить токен в базе?
JWT в базе не хранится, в базе хранятся только refresh токены.
Это позволяет знать все действующие сессии всех пользователей и инвалидировать их при необходимости
Это позволяет знать все действующие сессии всех пользователей и инвалидировать их при необходимости
GS
Фактически refresh токен — это как токен сессии на сервисе аутентификации.
Он позволяет авторизоваться на сервисе аутентификации и получить новый access_token (JWT), с которым уже приложение будет проходить аутентификацию в других сервисах.
Он позволяет авторизоваться на сервисе аутентификации и получить новый access_token (JWT), с которым уже приложение будет проходить аутентификацию в других сервисах.
MA
Фактически refresh токен — это как токен сессии на сервисе аутентификации.
Он позволяет авторизоваться на сервисе аутентификации и получить новый access_token (JWT), с которым уже приложение будет проходить аутентификацию в других сервисах.
Он позволяет авторизоваться на сервисе аутентификации и получить новый access_token (JWT), с которым уже приложение будет проходить аутентификацию в других сервисах.
+++ Удивительно, насколько много недопонимания с JWT.
AG
Фактически refresh токен — это как токен сессии на сервисе аутентификации.
Он позволяет авторизоваться на сервисе аутентификации и получить новый access_token (JWT), с которым уже приложение будет проходить аутентификацию в других сервисах.
Он позволяет авторизоваться на сервисе аутентификации и получить новый access_token (JWT), с которым уже приложение будет проходить аутентификацию в других сервисах.
Где только его прятать на фронте?
MA
Где только его прятать на фронте?
В localStorage
GS
Где только его прятать на фронте?
рефреш - в httpOnly куке по традиции.
А с JWT - в приложении.
Проще (и хуже) всего в LS.
Лучше - в памяти приложения (в замыкании).
Идеально - в сервис-воркере
А с JWT - в приложении.
Проще (и хуже) всего в LS.
Лучше - в памяти приложения (в замыкании).
Идеально - в сервис-воркере
AG
рефреш - в httpOnly куке по традиции.
А с JWT - в приложении.
Проще (и хуже) всего в LS.
Лучше - в памяти приложения (в замыкании).
Идеально - в сервис-воркере
А с JWT - в приложении.
Проще (и хуже) всего в LS.
Лучше - в памяти приложения (в замыкании).
Идеально - в сервис-воркере
А куку в кроссдоменах как юзать? Или просто, как хранилище?
GS
А куку в кроссдоменах как юзать? Или просто, как хранилище?
А рефреш не нужен на разных доменах.
Рефреш используется только в одном месте — получение JWT на сервисе аутентификации.
И только этот сервис (на одном домене) получает рефреш в куке, и он же её устанавливает
Рефреш используется только в одном месте — получение JWT на сервисе аутентификации.
И только этот сервис (на одном домене) получает рефреш в куке, и он же её устанавливает
GS
Или ты про SameSite?
AG
А рефреш не нужен на разных доменах.
Рефреш используется только в одном месте — получение JWT на сервисе аутентификации.
И только этот сервис (на одном домене) получает рефреш в куке, и он же её устанавливает
Рефреш используется только в одном месте — получение JWT на сервисе аутентификации.
И только этот сервис (на одном домене) получает рефреш в куке, и он же её устанавливает
Ну если фронт отдельно лежит, как SPA. на бэке только АПИ на другом домене/порте.
JB
https://ru.m.wikipedia.org/wiki/JSON_Web_Token
Периодически перечитываю, чтоб понять, все ли правильно я сделал в предыдущем проекте. Да и доступно описано
Периодически перечитываю, чтоб понять, все ли правильно я сделал в предыдущем проекте. Да и доступно описано
GS
Ну если фронт отдельно лежит, как SPA. на бэке только АПИ на другом домене/порте.
Либо использовать CSRF токен, либо делать аутентификацию и SPA на одном домене (не обязательно физически, можно просто на сервере с SPA делать обратный прокси к auth сервису)
GS
Ну если фронт отдельно лежит, как SPA. на бэке только АПИ на другом домене/порте.
Вру, CSRF токен не нужен, тут можно и простым CORS-ом закрыть
🏡K
Либо использовать CSRF токен, либо делать аутентификацию и SPA на одном домене (не обязательно физически, можно просто на сервере с SPA делать обратный прокси к auth сервису)
Это для форм вроде, чтобы формы с конкретного ток сайта слались, можно и с корсом в дополнение юзать
GS
Это для форм вроде, чтобы формы с конкретного ток сайта слались, можно и с корсом в дополнение юзать
Да, я поправился следующим сообщением)
K
Скажите а почему тайпскирип в примере из документации на Nest на Function ругается? я так понимаю просить чтобы тип был точнее описан. типа: () =>
KL
Function - тип из JavaScript
KL
Тебе нужно описать всю сигнатуру анонимной функции