KY
В целом это фишка больше для серверной части. Тебе на клиенте главное все подписывать и рефрешить когда сервер скажет
подскажите... с таким жить можно или мерзость ?:)
в стейте токен не обязательно... то чисто для себя
Size: a a a
2021 February 03
2021 February 04
SP
A
Тебе еще не сказали? Jwt это днище, реальные парни пишут на auth0, вообще конечно жить можно все пишут на jwt и хранят его в localstorage
KY
Мдомс
KY
подскажите... с таким жить можно или мерзость ?:)
в стейте токен не обязательно... то чисто для себя
в стейте токен не обязательно... то чисто для себя
Обычно это под капотом утилит.
SP
Обычно это под капотом утилит.
можешь пальцем ткнуть, то именно и как вынес бы... мне нужна критика :)
SP
Тебе еще не сказали? Jwt это днище, реальные парни пишут на auth0, вообще конечно жить можно все пишут на jwt и хранят его в localstorage
только я пишу всё для себя и по сути первый раз... кто-то и ракеты в космос запускает :) и да буду смотреть дальше Oauth но не всё сразу
A
Да это же сарказм был) jwt это можно сказать стандарт но вообще не очень секьюрный
MK
подскажите логику jwt со стороны фронта и где хранить лучше сам токен, стейт или локал? и запутался чутка, по какому признаку рефрешить ? что-то нормальной схемки поэтапной не нашел, всё замутное и со строны бека только с сессионностью и т.д.
Хранить токены нужно стараться максимально изолированно, лучше всего в HTTP-only cookie. Перед каждым запросом проверяй по ttl токена не истек ли он и если просрочился — рефрешить и посылать запрос с новым, лучше эту механику в слое фетчинга сделать как написал @iblia
SP
Хранить токены нужно стараться максимально изолированно, лучше всего в HTTP-only cookie. Перед каждым запросом проверяй по ttl токена не истек ли он и если просрочился — рефрешить и посылать запрос с новым, лучше эту механику в слое фетчинга сделать как написал @iblia
в куках у меня рефреш висит, с бека пишу в куки, с датами ещё буду думать как на апи прослойке проверять, спс
MK
Да это же сарказм был) jwt это можно сказать стандарт но вообще не очень секьюрный
почему не секьюрный?)
MK
в куках у меня рефреш висит, с бека пишу в куки, с датами ещё буду думать как на апи прослойке проверять, спс
access если есть возможность тоже http-only кукой стоит сделать — чтобы исключить xss на фронте
SP
access если есть возможность тоже http-only кукой стоит сделать — чтобы исключить xss на фронте
понял, просто со стороны фронта ещё с кукой не игрался
SP
SP
SP
к стати а почему нет конечной даты?
SP
или не то смотрю
MK
у куки нет, ее отдельно нужно задать
SP
у куки нет, ее отдельно нужно задать
а то у токена :) ...во блин время куков, ладно буду рыть )
NS
guys 👋