GV
Вот в примере по выбору первого селекта идёт запрос на сервак ajax'ом
Size: a a a
2021 May 21
V
При чем тут зоопарк? Я видел проекты, где всё сделано только на jwt. А потом приходят проблемы типа "как отозвать угнанный токен". И привет
MZ
это уже не проблемы jwt)
G
проблемы джунов, как ранее и было сказано. Изначально не продумали кейс с отзывом
KZ
в select2 есть поиск по элементам двумя способами.
1. простой поиск по всем элементам
2. при каждом вводе пользователя - отправляется запрос на сервак и с сервака показываются данные (вместо того чтобы грузить сразу все данные в select, подгружаются только подходящие)
я про второй способ
1. простой поиск по всем элементам
2. при каждом вводе пользователя - отправляется запрос на сервак и с сервака показываются данные (вместо того чтобы грузить сразу все данные в select, подгружаются только подходящие)
я про второй способ
V
И как же отзывать?
GV
токен должен жить мало времени (мин 15), ресет токен - дропаете через время, допустим раз в неделю. Без ресет токена не получишь простой токен, всё просто
V
Посмотри видео 🙂
GV
всё, я понял. Ты имел ввиду select + поиск
IB
А ты POST чекаешь а экшене?
KZ
да, который зависит от другого селекта
KZ
т.е. у меня должна сократиться выборка в поиске во втором селкте, в зависимости от того, что выбрано в первом селекте
IB
И можешь с
pluginOptions.params поигратьсяG
берешь классическую реализацию с access и refresh токен, у access токена время жизни минимальное. При запросе на рефреш к сервису уходит связка access и refresh, в хранилише с refresh окенами лежит связь с предыдущим access. Если связка подтверждена, возвращаешь новую пару с access и refresh и так до бесконечности. Отзык = удаление refresh токена. Если токены скомпроментированы, то тут 2 варика, если первым запросит рефреш настоящий юзер, то хакеру облом, если первым хакер, то юзера выкинет и это повод задуматься
KZ
зачем?
V
Т.е. хакер будет работать, пока пользователь будет непонимать что происходит, пытаться связаться с поддержкой и тд, верно? Ну ок 🙂 Вообще, мой самый первый коммент, если посмотришь, был о том что не нужно тащить jwt, если он не нужен, а не о том что jwt вообще нельзя юзать. А мы щас обсуждаем уже непонятно что
V
Изначальный посыл выглядел как "а лучше юзай jwt", что неверно
NO
Мне интересно, а как нынче токены угоняют? Типа приехал такой в магазин, токен на улице оставил, ключи в зажигании, кто-то подошёл и угнал?
G
ну, проблема с хакером, это явно проблема не jwt, тут нужны надстройки в безопасности твоего сервиса авторизации, офкос. Я к тому, что нет ничего плохого в использовании jwt...
GV
я его уже видел раньше, спасибо. Я прекрасно знаю проблемы JWT - просто ответил на твой вопрос как отзывать сворованные токены