V
Ну а так - можно ж любые данные из jwt вытащить, это ж просто base64
извлечь можно только payload, все остальное шифруется по ключу который только на сервере
Size: a a a
2021 March 13
VK
извлечь можно только payload, все остальное шифруется по ключу который только на сервере
Не только payload
IS
Чтобы проверить подпись, надо иметь ключ
Зачем на клиент отправлять ключ?
А на сервере все-равно всегда надо проверять валиден ли токен, так зачем делать это на клиенте - не понимаю
Зачем на клиент отправлять ключ?
А на сервере все-равно всегда надо проверять валиден ли токен, так зачем делать это на клиенте - не понимаю
Этот ключ доступен всем, ничего отправлять не нужно, он лежит на url определенном(И абсолютно не секретном)
IS
Чтобы проверить подпись, надо иметь ключ
Зачем на клиент отправлять ключ?
А на сервере все-равно всегда надо проверять валиден ли токен, так зачем делать это на клиенте - не понимаю
Зачем на клиент отправлять ключ?
А на сервере все-равно всегда надо проверять валиден ли токен, так зачем делать это на клиенте - не понимаю
Что бы быстро было, не делать запрос по сети.
IS
извлечь можно только payload, все остальное шифруется по ключу который только на сервере
“по ключу который только на сервере” - это справедливо только для синхронного шифрования, у меня обратная ситуация.
V
“по ключу который только на сервере” - это справедливо только для синхронного шифрования, у меня обратная ситуация.
ну если все справедливо делай как хочешь, смысл спорить если ты так уверен?
IS
Я просто новичок во фронте, я не уверен, что здесь так принято .
VK
Не только payload
header тоже
В jwt ничего не шифруется вообще по-умолчанию
В jwt ничего не шифруется вообще по-умолчанию
VK
Я просто новичок во фронте, я не уверен, что здесь так принято .
Для чего вы используете токен?
IS
Для аутентификации.
VK
Для аутентификации.
Аутентификация происходит на сервере, правильно?
IS
Ну, она происходит на SSO, на сервере скорее авторизация.
V
“по ключу который только на сервере” - это справедливо только для синхронного шифрования, у меня обратная ситуация.
не знаю как у тебя там сделано, но по дефолту чтобы проверить что токен не протух и его никто не менял нужен ключ, который есть только на сервере. Ташить его на фронт никак нельзя
VK
Ну, она происходит на SSO, на сервере скорее авторизация.
Токен нужен для того, чтобы коммуницировать с сервером, так? И на сервере в любом случае он всегда проверяется
Так смысл в проверке на клиенте?
Так смысл в проверке на клиенте?
IS
не знаю как у тебя там сделано, но по дефолту чтобы проверить что токен не протух и его никто не менял нужен ключ, который есть только на сервере. Ташить его на фронт никак нельзя
Ты говоришь только об одном варианте jwt, их много, на некоторых даже payload шифруется.
IS
Токен нужен для того, чтобы коммуницировать с сервером, так? И на сервере в любом случае он всегда проверяется
Так смысл в проверке на клиенте?
Так смысл в проверке на клиенте?
Что бы быстро было, запросы могут быть долгими, а проверка на клиенте быстрая.
IS
Что бы быстро было, запросы могут быть долгими, а проверка на клиенте быстрая.
А как ты на клиенте собираешься проверять токен?
VK
Что бы быстро было, запросы могут быть долгими, а проверка на клиенте быстрая.
Вы можете проверить на клиенте если для этого вам не надо расшифровывать ничего с помощью секретных ключей, просто чтобы не делать лишний запрос если токен уже не валиден
Но это не отменяет проверку на сервере в любом случае
Но это не отменяет проверку на сервере в любом случае
IS
А как ты на клиенте собираешься проверять токен?
Берешь откртые ключи, расшифровываешь подпись, берешь хэш от пайлода и сравниваешь.
VK
А как ты на клиенте собираешься проверять токен?
