AP
какие запросы от кого они улетают если доступа к хттпонли кукам нет в жсе
Size: a a a
2021 October 27
AP
они могут улететь просто с каким то запросом на странице и сервер сделает редирект на форму логина
f
Верно доступа нет из js. Ты залогинен в админке, 10 вкладок, jwt, access + refresh в httponly куках, доступа из js к куке нет, refresh одноразовый, подошло время обновлять токен, закрыл браузер, открыл браузер и при открытии улетят одновременно 10 запросов с одним и тем же рефрешем, первый пройдет остальные 9 вкладок средиректит на форму логина, да
f
Строго говоря из 10 вкладок не 10 запросов улетит, поменьше, но достаточно 2 одновременных с одним и тем же рефрешем чтобы выкинуло из админки
A
MZ
Красавчик, опередил 👍
f
да, и как раз там про эту проблему упоминается в коментах
https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc#gistcomment-3294242
https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc#gistcomment-3304152
https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc#gistcomment-3294242
https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc#gistcomment-3304152
AP
написана стена текста, а зачем все это надо до сих пор непонятно) как хакер может стащить httponly куку? если он ее стащил это на 99% значит доступ к машине а доступ к машине значит полную гыгышечку что бы ты не сделал
AP
зачем все эти токены разделять, почему не гонять только JWT и все?
DK
Ты ж сам, кстати, говорил про экстеншены
MZ
Хороший текст про auth
AP
и что? если есть такой экстеншен значит каждый токен украден по умолчанию, сколько его не рефреши
DK
Ага, я про то, что не обязательно машина скомпрометирована. Достаточно браузера, хаха.
f
проблема в гонке запросов при обновлении токена, когда от клиента улетает 2 и более запроса с одним и тем же refresh, такая ситуация легко возникает когда у чела открыто 2 и более вкладки и чел закрыл, открыл браузер
PM
2 токена нужны только когда сервис преедает права третьему сервису по типу oauth
f
про эту проблему человек https://t.me/sveltejs/181162 и спросил изначально, ему ответили - используй httponly стораджи не трогай, но это не решает проблему. Не используй jwt в браузере вот решило бы =)
AP
еще и проблем куча из-за этого велосипеда, это не для first party аутентификации, а для асинхронной аутентификации на стороннем сервисе наверно больше подходит?
AP
JWT без рефреш токенов чем не устроил?) кладешь токен в httponly куку и все, при активности продлеваешь его до бесконечности
К
Например lighthouse audit сделать на локалке
VT
Подскажите как правильно заменить
routes/index.svelte
на
routes/[slug].svelte
http://localhost:3333/test-page - все ок, переход на [slug].svelte
http://localhost:3333/ - выдает 404 Not found: / , а я хочу что-бы корень тоже обрабатывал [slug].svelte
routes/index.svelte
на
routes/[slug].svelte
http://localhost:3333/test-page - все ок, переход на [slug].svelte
http://localhost:3333/ - выдает 404 Not found: / , а я хочу что-бы корень тоже обрабатывал [slug].svelte