Телеграмм чат группы proelixir страница 6052

11:41пожаловаться

вообще трудно представить ситуацию, когда session_key + csfr token не хватало бы, если на одном домене

11:41пожаловаться

интернет большой, можно почитать еще что-то

11:42пожаловаться

например, про сессии

11:42пожаловаться

Pros and cons in using JWT (JSON Web Tokens)

https://medium.com/@rahulgolwalkar/pros-and-cons-in-using-jwt-json-web-tokens-196ac6d41fb4
вот вполне норм

Medium

For apps that require a sever-side implementation, the clients (mobile app or web browser)generally have to prove their identity to the…

11:43пожаловаться

ŹR

Кстати, вот refresh_token. Он живет к примеру 30 минут, и его можно всегда обменять на обычный токен

11:44пожаловаться

ŹR

Так почему нельзя просто токен сделать 30 минут?

11:44пожаловаться

ŹR

Смысл то какой?

11:44пожаловаться

No Way, JOSE! Javascript Object Signing and Encryption is a Bad Standard That Everyone Should Avoid - Paragon Initiative Enterprises Blog

Simon Khaskelberg

Paragonie

JWT, JWE, JWS, etc. are terrible designs and need to be scrapped, not resuscitated.

и стебутся в чатиках

Так почему нельзя просто токен сделать 30 минут?

чтобы человек не вводил логин/пароль постоянно. а сервер сам запрашивал новый токен через рефреш

11:45пожаловаться

типо

11:45пожаловаться

реализуйте все заново

11:45пожаловаться

ŹR

Dmitry

чтобы человек не вводил логин/пароль постоянно. а сервер сам запрашивал новый токен через рефреш

Так почему нельзя сделать всего один токен со временем жизни 30 минут?

11:46пожаловаться

ŹR

Рефреш живет 30 - значит ерез 31 надо вводить логин пароль

Так почему нельзя сделать всего один токен со временем жизни 30 минут?

если кто-то украдет твой токен, то тоби пизда

11:47пожаловаться

ŹR

А если украдут рефреш?

11:47пожаловаться

поэтому он и живет 30сек)

11:48пожаловаться

тем более хранятся то вместе

11:48пожаловаться