PM
для того, чтобы в случае кражи он быстро стух и толко тот, у кого есть рефреш мог получить новый без необходимости повторной процедуры логина
Size: a a a
2021 February 26
E
По этому мне не ясно зачем это все, если нет профита при работе в вебе
E
Вернее не в вебе, а при работе с клиентом
PM
Может быть, но смотри, что бы по нему не находил, все пишут про пару аццесс и рефреш
да есть такое. потому что вдруг люди поняли, что jwt это конечно прикольно, но не хотелось бы чтобы единственным способом его отозвать был переопределение приватных ключей шифрования)
PM
поэтому и городят разные гибридные схемы
PM
есть например обратная схема, когда для отзыва jwt его просто добавляют в blacklist
E
E
Дак вот, если эта схема не оч, какая есть альтернатива и есть ли?
PM
внешне очень похоже на обычный oauth
E
Может и такое быть.
E
Токен jwt, схема работы по oauth
E
Вероятно OAuth 2.0
PM
ох, ладно, главное чтобы нравилось) может кейс специфичный и нужно реально какой-то контекст в токене постоянно таскать
E
У нас, как понимаю, логика такая, что в нем приходят данные пользователя, живет он 3 минуты, простив 6 у рефреша и раз в полторы происходит перезапрос
E
По этому с моей стороны, человека, несколько далекого от систем авторизации и построения бек архитектуры, все норм
E
Отдельный запрос на роли и пермишены не нужен
E
Однако, за альтернативное мнение я был бы и являюсь благодарным, всё лучше чем ничего
E
Можно просто монолит делать и не париться
Зависит от проекта. Иногда да, микросервисы не нужны
AP
jwt это модно, надо тоже прикрутить конечно в своей собственной велосипедной реализации
М
я думал вчера тему jwt обсосали всю, а оказывается нет )