РМ
Почему?
потому что защещенный контент придет во втором запросе
Size: a a a
2020 August 18
АР
Тогда теряет смысл ssr
Какой смысл SSR теряется кроме прямого смысла в рендеринге?
GS
потому что защещенный контент придет во втором запросе
Что мешает его отрендерить сразу на сервере?
AK
Гугл - MITM
В основе https лежит асимметричное шифрование, какая разница кто подсоединиться между вашим трафиком, если для его чтения требуется приватник сервера?
АР
потому что защещенный контент придет во втором запросе
Что такое защищенный контент? Чем он защищен?
РМ
Что мешает его отрендерить сразу на сервере?
то что мы не можем провести аутентификацию пользователя если он не передает access_token и передавать access_token из памяти он не может т.к. первый запрос делаетс янативно браузером, а не настроенный инстанцем http клиента
IV
Что такое защищенный контент? Чем он защищен?
Тот который требует авторизации может быть
РМ
Что такое защищенный контент? Чем он защищен?
тот контент, для доступа к которому юзер должен аутентифицироваться и авторизоваться
GS
то что мы не можем провести аутентификацию пользователя если он не передает access_token и передавать access_token из памяти он не может т.к. первый запрос делаетс янативно браузером, а не настроенный инстанцем http клиента
справедливо
GS
то что мы не можем провести аутентификацию пользователя если он не передает access_token и передавать access_token из памяти он не может т.к. первый запрос делаетс янативно браузером, а не настроенный инстанцем http клиента
А что мешает на сервер-сайд получить аксесс с помощью имеющегося у него рефреша?
GS
@G_Rasul за одно можешь подумать, какие именно свойства обычных сервер-сессий мешают их использовать
РМ
А что мешает на сервер-сайд получить аксесс с помощью имеющегося у него рефреша?
ничего не мешает если делать свои термины
refresh_token по определению нужен для получения access_token
а не для получения контента
вы поменяли их местами в своем вопросе
refresh_token по определению нужен для получения access_token
а не для получения контента
вы поменяли их местами в своем вопросе
GS
ничего не мешает если делать свои термины
refresh_token по определению нужен для получения access_token
а не для получения контента
вы поменяли их местами в своем вопросе
refresh_token по определению нужен для получения access_token
а не для получения контента
вы поменяли их местами в своем вопросе
Я не менял.
Всё также используем аксесс для контента
Всё также используем аксесс для контента
GS
аксесс берём из памяти
GS
кладём его туда с помощью рефреш
GS
Мотивация — делать аксесс недоступным из XSS
РМ
Я не менял.
Всё также используем аксесс для контента
Всё также используем аксесс для контента
мы не моежм брать акцес из памяти если первый запрос прошел нативно
если вы предлагаете серверную конструкцию типа
если пришел акцес - держи контент
если пришел рефрешь - дернем на сервере акцес - держи контент
то это нарушение парадигмы и термины access_token и refresh_token не могут применяться, тогда это уже своя кастомная схема авторизации и соответственно нужны другие термины
если вы предлагаете серверную конструкцию типа
если пришел акцес - держи контент
если пришел рефрешь - дернем на сервере акцес - держи контент
то это нарушение парадигмы и термины access_token и refresh_token не могут применяться, тогда это уже своя кастомная схема авторизации и соответственно нужны другие термины
GS
мы не моежм брать акцес из памяти если первый запрос прошел нативно
если вы предлагаете серверную конструкцию типа
если пришел акцес - держи контент
если пришел рефрешь - дернем на сервере акцес - держи контент
то это нарушение парадигмы и термины access_token и refresh_token не могут применяться, тогда это уже своя кастомная схема авторизации и соответственно нужны другие термины
если вы предлагаете серверную конструкцию типа
если пришел акцес - держи контент
если пришел рефрешь - дернем на сервере акцес - держи контент
то это нарушение парадигмы и термины access_token и refresh_token не могут применяться, тогда это уже своя кастомная схема авторизации и соответственно нужны другие термины
Я предлагаю на серверсайде использовать ту же систему, что и на клиенте
РМ
При такой схеме можно тогда вообще выкинуть с клиента access_token и дергать контент при помощи refresh
GS
При такой схеме можно тогда вообще выкинуть с клиента access_token и дергать контент при помощи refresh
Это делается только при первом запросе.
Но при этом аксесс теперь не так открыто валяется
Но при этом аксесс теперь не так открыто валяется