V
не знаю как он быстро истёк тогда)
Size: a a a
2020 May 09
A
JWT это формат пейлоада + подпись. дальше стоит рассматривать уже конкретную схему аутентификации.
A
обычно записывают время когда токен был выдан
верней в JWT есть
exp и iat поля, время жизни и время выдачи соответственно. а какие поля заполняет сервер уже зависит от конкретной реализации.V
В jwt сервер не может отозвать токен, только заблеклистить.
теперь я вспоминаю ту картинку про jwt и сессии, если у юзера угонят пароль и ему выдать новый токен, то старый... и понеслось
A
теперь я вспоминаю ту картинку про jwt и сессии, если у юзера угонят пароль и ему выдать новый токен, то старый... и понеслось
ну ровно те же механизмы что и с сессиями.
A
но все становится несколько сложнее, если токены выдаешь себе не ты сам, а используешь внешний доверенный сервис аутентификации.
V
я так понимаю, где-то там хранить, что у юзера валидный токен последний выданный - это плохая идея?
АП
Где-то там это где?
A
я так понимаю, где-то там хранить, что у юзера валидный токен последний выданный - это плохая идея?
ну почему же. можешь и хранить. просто при каждом запросе тебе придется дергать базу на предмет проверки токена.
A
если ты про хранить в базе
АП
Плюс у пользователя может быть несколько валидных токенов же.
V
Плюс у пользователя может быть несколько валидных токенов же.
этот момент я понимаю
V
ну в итоге приходим к тому, что получается таж самая сессия.
V
Я понял)
A
как бы в таком случае непонятно зачем тебе JWT
A
ну в итоге приходим к тому, что получается таж самая сессия.
типа того.
V
как бы в таком случае непонятно зачем тебе JWT
использовать обычную авторизацию в api с куками тоже как-то не то
A
использовать обычную авторизацию в api с куками тоже как-то не то
какое отношение формат токена имеет к способу его хранения?
T
новая форма = новый код, код генерится и вставляется перед выдачей формы
А как он проверяется?