Yura

нельзя stateless токены отзывать

Yura

придётся в каком-то хранилище их держать

guga

Ага, и это уже совсем не стейтлесс

Yura

угу

Yura

самый классный кейз это когда тебе не нужно отзывать

Yura

например всегда токены на день

Yura

тогда можно всё нормально stateless сделать

🐴

да, время жизни должно быть достаточно коротким

Yura

тогда неудобство рефреша будет накалять

Yura

если слишком коротким

🐴

достаточно, но не слишком

Yura

)

guga

а как вы хендлите рефреш? застравляете клиента ходить на отдельный эндпоинт?

🐴

а как вы хендлите рефреш? застравляете клиента ходить на отдельный эндпоинт?

я именно так это представляю

Yura

можно отлавливать not authorized :)

guga

вот он запросиль /entity/{id}

Yura

сервер сказал

Yura

not authorized

guga

а ты ему, вот тебе ответ и новый токен в хедере?

Yura

ты это словаил

guga

ну это не рефреш как бы

Yura

и сделал запрос на login

Yura

чем словить?

guga

это просто логин

Yura

ой

Yura

да

Yura

думаю можно по времени заставлять рефрешить

Ale

стейтфул токен рефреш

Ale

юзается редко

Ale

для получения нового стейтлес

guga

я конечно могу сидеть такой важный на бекенде и говорить, ну перелогинься, тебе что сложно?

Yura

не

Yura

можно например если меньше часа осталось, пусть сделает refresh

Yura

новый токен по старому, без логина

Ale

так если и больше прошло

Ale

рефреш он долгий

Ale

пошел получил новый стейтлес

Ale

вообще, зачем вам jwt?

Yura

мода)

Ale

он чаще не нужен, чем нужен

Yura

норм формат

Ale

ну не особо, если есть куча независимых сервисов, которые не хотели бы ходить всегда в одно центральное место

Ale

тогда норм

Ale

а так

Ale

нафига он?

guga

ну, могу и без jwt

guga

было интересно потыкать

Yura

токены просто генерить норм

Ale

подсказать генератор рандомных строк?)

Yura

ну не особо, если есть куча независимых сервисов, которые не хотели бы ходить всегда в одно центральное место

при чём тут jwt

guga

мне всего лишь нужно выдать токены для аликух на ios и android

Ale

при чём тут jwt

сервис из токена получает нужную инфу

Ale

в том числе о его валидности

Ale

и не идет к сервису авторизации

Ale

а делает свои дела

guga

да, особенно удобно, если не монолит

Ale

в остальных случаях чет особо-то смысла и нет

Ale

хотя хз, может кто вариантов накинет

guga

ну он мне нравться больше чем генерить токен и класть его в базу

Yura

ложи в редис

Yura

быдымс

Yura

:)

Ale

ну, редис тож так себе

guga

а редис не база?

Yura

да я шучу

Ale

лучше во что-то более надежное

Yura

все такие серьёзные)

Yura

база надёжная

guga

кстати, вы делали логины через соц. сети?

Yura

ну когда-то да

Ale

база надёжная

ну редис может быть нет

guga

меня вот смущает иметь несколько вариантов юзера в моей бд

Yura

я не редис имелл вииду

Yura

норм ситуация для bounded contexts :)

Ale

один юзер и несколько его наборов кредов)

Ale

ну или как-то правильнее назвать это

guga

вопрос то в том, у этих юзеров же нету пароля

guga

и собственно, как провести его логин, когда токен заэкспарился

Ale

по рефрешу

Ale

ну или пусть заново через сеть заходит