AC
Я не раз сталкивался с данной проблемой, не разу без констылей не решили
Size: a a a
2020 November 26
DT
Нужен логаут где нет сессий - что?
DT
Что такое логаут?
DT
Там где нет сессий
DT
Jwt - это как reference на пользователя - пока есть пользователь, jwt валиден
EK
Jwt - это как reference на пользователя - пока есть пользователь, jwt валиден
Получается центральное хранилище пользователей
Чтобы разные сервисы могли чекнуть
Хотя вы как раз правильно говорите что надо сессии юзать для сессий
Чтобы разные сервисы могли чекнуть
Хотя вы как раз правильно говорите что надо сессии юзать для сессий
SP
@fes0r как тебе идея хранить в jwt дату выпуска и после log out считать выпущенные до ивалид?
Хорошая идея - как раз для фич "инвалидировать все"
SP
Тут проблема только в том что эта логика должна быть на стороне принимающей токен и обычно фичи по управлению сессиями не имеет смысла там держать - вся идея hmac теряется
SP
По сути если у тебя есть требования по мгновенной инвалидами токена и проверка где-то на уровне мидлваров/ingress то такое провернуть можно. Индивидуальные токены с айдишками сессий - тут так же можно Блэк лист держать или фильтр Блума какой
SP
В 99% то что токен валиден ещё пару минут после инвалидами сессий не является проблемой
SP
А за сессию свои механизмы отвечают которые позволяют тебе получить новый токен.
AC
Хорошая идея - как раз для фич "инвалидировать все"
Спасибо за подробный ответ
SP
Все же важно подчеркнуть зачем нужен jwt и прочие hmac. Оно надо когда системы которые принимают решение есть у тебя доступ или нет и штуки которые непосредственно операцию обслуживают разные системы.
Пример - docker registry - внешняя система выдает токен и регистри разрешает опреацию.
Другой пример - система выдает одноразовый токен и с ним ты идёшь заливать файлик на сервер (s3 signed requests)
Пример - docker registry - внешняя система выдает токен и регистри разрешает опреацию.
Другой пример - система выдает одноразовый токен и с ним ты идёшь заливать файлик на сервер (s3 signed requests)
ST
Что будет лучше Guid или Guid string as Key?
Guid ессно, внутри это int128. Некоторые СУБД оптимизированы под ключи этого типа, например MSSQL. Админы недолюбливают гуид за фрагментацию, но это решается в частных случаях. Подробнее см. в книжке "СУБД для программиста. Базы данных изнутри"
SB
Еще если для внешнего мира то делать как string, а для внутреннего хранения можно как guid, единственное не все базы его могут поддержать из коробки
EE
ST
Sergey Buyanov
Еще если для внешнего мира то делать как string, а для внутреннего хранения можно как guid, единственное не все базы его могут поддержать из коробки
"Для внешнего мира" - это что значит?
AF
"Для внешнего мира" - это что значит?
Апи принимает параметр как стринг, свагер.
В ормке, в модельке прописано guid
В ормке, в модельке прописано guid
2020 November 27
АР
что делать, если с API приходит объект и нужно его преобразовать в другой сложный объект, с поведением и т.д. Использовать Builder или фабрику?