V
я правильно понимаю, что jwt токен хранит в себе зашифрованный идентификатор пользователя?
Size: a a a
2020 May 09
A
я правильно понимаю, что jwt токен хранит в себе зашифрованный идентификатор пользователя?
нет. он его хранит в открытом виде.
A
payload в JWT не шифруется.
V
что-то мешает изменить payload и подставить другой идентификатор ? Прокатит или как-то валидируется ?
A
что-то мешает изменить payload и подставить другой идентификатор ? Прокатит или как-то валидируется ?
цифровая подпись
V
ок
A
с формой да, с куки — нет
* поправка, чаще всего и зависит. зависит от механизма генерации, хранения и проверки csrf токена.
V
вопрос ещё про flask-jwt-extended, как определяется, что старый токен expired, при генерации нового?
A
вопрос ещё про flask-jwt-extended, как определяется, что старый токен expired, при генерации нового?
хз конкретно на счет flask-jwt-extended, но вообще по времени жизни.
АП
вопрос ещё про flask-jwt-extended, как определяется, что старый токен expired, при генерации нового?
В пейлоад записывают время жизни.
A
В пейлоад записывают время жизни.
обычно записывают время когда токен был выдан
V
В пейлоад записывают время жизни.
но если я создаю два токена, то у обоих будет грубо говоря по дню жизни
A
но если я создаю два токена, то у обоих будет грубо говоря по дню жизни
wut?
V
но валидным останется последним созданным
АП
но валидным останется последним созданным
Чойто?
A
но валидным останется последним созданным
нет, валидными будут оба
АП
В jwt сервер не может отозвать токен, только заблеклистить.
A
В jwt сервер не может отозвать токен, только заблеклистить.
ну JWT ничего не говорит о том как сервер проверяет токен.
АП
А я говорил.
V
а всё, вопрос тогда снят