A
нигда, сам токен доступа только в оперативной памяти
refresh token в http only cookie
refresh token в http only cookie
Рефреш положили в httpOnly, доступ из js невозможен. Как его посылать?
Size: a a a
2020 September 15
A
Бекенду самому брать его?
A
Тогда почему сессию не использовать?
РМ
Бекенду самому брать его?
да
РМ
Тогда почему сессию не использовать?
если ест ьсессия, то зачем jwt?
A
Преимущества jwt скатывается в таком подходе
РМ
Преимущества jwt скатывается в таком подходе
нет, не скатывается
A
Если так делать, то смысла от него нет
A
нет, не скатывается
Если ты его суёшь в куки как http only, зачем тебе jwt?
РМ
Если так делать, то смысла от него нет
смысл такой же как и был - возможность очень быстрой авторизации во множестве сервисов без необходимости их связывания
A
смысл такой же как и был - возможность очень быстрой авторизации во множестве сервисов без необходимости их связывания
Если ты сделаешь запрос на другой домен у тебя кука не отправится
РМ
Если ты сделаешь запрос на другой домен у тебя кука не отправится
на другом домене тебе кука не нужна, кука нужна только на домене который обновляет твой jwt
A
на другом домене тебе кука не нужна, кука нужна только на домене который обновляет твой jwt
На другом домене ты тоже должен быть авторизован
A
Как другой сервис это проверит?
РМ
На другом домене ты тоже должен быть авторизован
дял этого нужен только jwt, который лежит в памяти и отправляется в хедерах
РМ
refresh для этого не нужен
A
Но рефреш у тебя лежит в локалсторе?
РМ
Но рефреш у тебя лежит в локалсторе?
нет, он лежит в http only cookie
A
Как будто дед с батей по пьяни сошлись
A
нет, он лежит в http only cookie
Хм, понял о чем ты.