A
Единственное, насчёт jwt не понял. Он вроде как шифрует все, но это не точно
Size: a a a
2020 June 30
DN
что именно не понял - приниц работы jwt в общем или как он шифрует?
N
Alexander
Единственное, насчёт jwt не понял. Он вроде как шифрует все, но это не точно
http://Jwt.io вперде
EM
А Django умеет jwt куку выставлять как httponly?🤔
N
Alexander
Вообще насколько я понял, почитав о способах авторизации, все должно быть через https:
- для сессии и form-авторизаций, потому как в лёгкую может уйти sessionid или пароль
- При авторизации через токен - так же может уйти токен, кот по смыслу == паре логин/пароль
- для сессии и form-авторизаций, потому как в лёгкую может уйти sessionid или пароль
- При авторизации через токен - так же может уйти токен, кот по смыслу == паре логин/пароль
На самом деле https не обязателен)
N
Он просто защищает лучше.
N
Но на этом не стоит зацикливаться, поскольку это тупо транспорт. А механизмы авторизации это интересно.
N
Я читал недавно, временная генерация токенов самая защищённая, после двухфакторки. Хотя ее часто как двухфакторки и юзают
N
Это MFA по totp например. А в Джанго вообще хз как это встраивать
A
что именно не понял - приниц работы jwt в общем или как он шифрует?
Я просто для тех способов смотрел заголовки и данные, отправляемые на сервер, а с jwt ещё не пробовал. Теорию читал, но ее мало
DN
ну, я лично так работаю с JWT
1. отдельно логинюсь через API дабы получить JWT
2. сохраняю в хедере
3. Использую в дальнейшем при взаимодействии с БД через API
или тебе не ясно, какие настройки нужны, чтобы автоматом происходила авторизация?
1. отдельно логинюсь через API дабы получить JWT
2. сохраняю в хедере
Authoriztion3. Использую в дальнейшем при взаимодействии с БД через API
или тебе не ясно, какие настройки нужны, чтобы автоматом происходила авторизация?
MK
Не работайте с jwt
@why_jwt_is_bad
@why_jwt_is_bad
N
Вообще защита не нужна, нельзя взломать то, что открыто
D
Не работайте с jwt
@why_jwt_is_bad
@why_jwt_is_bad
и почему же?
D
Разве цель не вынести авторизацию в отдельный сервис, который может в себе нести дополнительную информацию? В чем плох JWT, который переизобретение сессий, но в микросервисах?
D
На самом деле https не обязателен)
интересные новости, особенно для авторизации
N
интересные новости, особенно для авторизации
Я тут имел ввиду, что это не то, на чем надо концентрироваться
N
Ниже дописал
D
Это MFA по totp например. А в Джанго вообще хз как это встраивать
TOTP нормально встраивается. Добавляется точка апи, которая проверяет TOTP и возвращает дополнительную куку
D
А куку в хедер, соответственно. В общем не особо сложно, сложнее правильно хранить информацию о токене, чтобы сверять