V
Надеюсь какой-то внутренний сервис?))
Size: a a a
2021 February 26
AS
V
Тогда пофиг вообще
V
Пусть страдают
AS
PM
Я? Я ничего не хочу. Говорю, что у меня на одном проекте jwt с токеном и рефреш токеном. Бек сделал, безопасники одобрили, работаем.
Макс заявляет, что не тру и надо иначе. Что бы что-то в безопасном хранилище хранилось. Вот и я прошу поделиться безопасным решением для спа )
Макс заявляет, что не тру и надо иначе. Что бы что-то в безопасном хранилище хранилось. Вот и я прошу поделиться безопасным решением для спа )
Чёт токен и рефреш выглядит как oauth. Как туда ещё jwt присунули не очень понятно
E
Чёт токен и рефреш выглядит как oauth. Как туда ещё jwt присунули не очень понятно
Да вроде все, где находил пишут про рефреш и аццесс
PM
jwt создавался для того, чтобы юзать stateless на сервере, то есть отвечать на запрос без необходимости проверять авторизацию через БД.
PM
Поэтому его по идее можно увести и его нельзя отозвать
PM
Иначе смысла в нем нет. Можно юзать обручную сессию (файл/БД запись на сервере + идентификатор в куке)
PM
Oauth создан прежде всего для того, чтобы предоставлять временный и главное отзываемый доступ к ресурсам требующим авторизацию
PM
Там да, 2 токена: accessToken временный токен для доступа к данным, refreshToken чтобы получать новый accessToken
E
Опять же, если он так создавался, то не было бы гайдов по работе на клиенте с ним. Или не понимаю чего-то?
PM
Удаление рефреша из БД влечёт отзыв доступа из-за невозможности получить новый access
PM
Опять же, если он так создавался, то не было бы гайдов по работе на клиенте с ним. Или не понимаю чего-то?
А в чем проблема юзать его на клиенте?
PM
Можно юзать, просто его можно увести и нельзя отозвать ))
PM
За сохранностью токена следит сам клиент
PM
Сервер может отозвать только сразу все токены jwt
E
Ну как бы, мне дали в инструментарии токен. По логике проекта, есть пять приложений, среди которых одно авторизационное. Все на разных доменах. Как там по диспозиции в глубину не узнавал. Сам проект за сертификатами и vpn сидит.
E
Мне не кажется, что не особо безопасность страдает, раз он прошел проверку в СБ