IS
Ну а так - можно ж любые данные из jwt вытащить, это ж просто base64
Ну да, только эти данные можно подменить, и тогда можно будет зайти на фронт, на бэке, конечно, ничего не сдеает, но на фронт зайдет.
Size: a a a
2021 March 13
VK
Ну да, только эти данные можно подменить, и тогда можно будет зайти на фронт, на бэке, конечно, ничего не сдеает, но на фронт зайдет.
Нет, нельзя
ПОтому, что есть подпись
ПОтому, что есть подпись
IS
Так на сервере в любом случае придется каждый раз проверять
Я могу и сам проверять на фронте, открытым ключом.
VK
Я могу и сам проверять на фронте, открытым ключом.
Вы проверили, решили, что все окей, отправили запрос, а по пути токен протух
VK
И смысл с того, что вы проверяли что-то там?
IS
Нет, нельзя
ПОтому, что есть подпись
ПОтому, что есть подпись
Подпись только для бэка будет работать.
VK
Не надо полагаться на фронт в верификации токенов
IS
Вы проверили, решили, что все окей, отправили запрос, а по пути токен протух
Я проверил на сервере, получил, что он не протух, отправил, а он протух. та же ситуация.
VK
Я проверил на сервере, получил, что он не протух, отправил, а он протух. та же ситуация.
Ну так обновляйте токен только тогда, когда сервер вам сказал, что его надо обновить
IS
Ну так обновляйте токен только тогда, когда сервер вам сказал, что его надо обновить
Ты хочешь, что бы сервер сам сообщал тебе, когда токен протух, т.е. сервер должен следить за токенами?
VK
Ты хочешь, что бы сервер сам сообщал тебе, когда токен протух, т.е. сервер должен следить за токенами?
Сервер получает токен вместе с запросом и если токен протух - уведомляет об этом клиент в ответе
IS
Ну да, но я и на клиенте могу выяснить, что он протух, разницы нет.
VK
Ну да, но я и на клиенте могу выяснить, что он протух, разницы нет.
Зачем вам это знать на клиенте, скажите пожалуйста?)
Если источник истины - сервер)
Если источник истины - сервер)
IS
Какой источник истины, о чем ты? Сервер вообще почти ничего не знает, он просто берет открытй ключ, расшифровывает подпись, берет хэш от пайлода и сравнивает подпись и пайлоад, я тоже самое могу делать на клиенте.
IS
В случае с синхронным шифрованием, сервер был бы источником истины.
VK
Короче, я чего-то не понимаю)
IS
Суть в том, что кто угодно может проверить, валиден токен или нет, но вопрос в том, стоит ли эту логику валидации вынести на сервер, или все же сделать на клиенте.
GG
Зачем использовать реакт ui библиотеки? Актуально ли их использовать если есть дизайн-макет?
V
Зачем использовать реакт ui библиотеки? Актуально ли их использовать если есть дизайн-макет?
Да, дизайн система может быть аля материал юи и легче готовую либу под эту систему использовать
VK
Суть в том, что кто угодно может проверить, валиден токен или нет, но вопрос в том, стоит ли эту логику валидации вынести на сервер, или все же сделать на клиенте.
Чтобы проверить подпись, надо иметь ключ
Зачем на клиент отправлять ключ?
А на сервере все-равно всегда надо проверять валиден ли токен, так зачем делать это на клиенте - не понимаю
Зачем на клиент отправлять ключ?
А на сервере все-равно всегда надо проверять валиден ли токен, так зачем делать это на клиенте - не понимаю