combot.org/chat/-1001024737789

/stat@combot

combot.org/chat/-1001024737789

Недавно начал изучать angularjs,для чего бывает полезно свои директивы писать?

Когда нельзя обойтись без своих директив?

Примерно так. Когда нужно взаимодействие с DOM, подключение чужих скриптов написанных например на jQuery, создание собственных элементов управления, внесение изменений в логику стандартных.

Я бы посоветовал просто разобраться и написать какую-то свою первую директиву, можно на примерах из доки на оф сайте ангуляр. Сами потом поймете - когда это может понадобиться.

Только запомните - что с DOM абы где писать - считается говнокодом

только в директивах

Спасибо большое

Может у кого есть хороший пример кастомной валидации форм?

Что то вроде jquery validate

А то в нете много примеров,так как я новичек,не знаю что лучше выбрать

Чтоб кастомные ошибки высвечивало

только в директивах

И компонентах

Где лучше хранить токен?в куках или в локалстораге?

Куки

Почему именно в куках?

Это безопаснее со стороны сесурити

В локалстораге больше места

И чем это безопаснее?

Там 5 мб места

Я попутал

http://stackoverflow.com/questions/3220660/local-storage-vs-cookies

ПЯТЬ МЕГАБАЙТ ТОКЕНОВ? 😱😱

Извините

Local storage is more secure

Но чем я не понимаю

В куков есть лайвтайм

В стореджа нету

The data is stored for longer duration and remains in the browser unless user delete it explicitly, it remains even after computer restart

Сомневаюсь что для токенов это хорошо

Local storage data is not sent to the server on every request (HTTP header) as it is purely at the client side

Так что для токенов таки куки

Это безопаснее со стороны сесурити

не совсем

если бы это были http-only куки то чисто технически да, париться надо теперь только о CSRF

НО, например мы юзаем JWT

и как бы не давать клиенту возможность читать пэйлоад как-то глупо

потому я лично засовываю токен в локал сторадж и не парюсь

тем более если у тебя есть refresh токены, не стоит их пхать в куки вообще (хотя тут можно конечно поспорить)

ну то есть - смотря какой токен мы храним, ибо у JWT тоже есть лайфтайм

А куда, если ты хотя бы знаешь и поставишь им время жизни

Если локалстор - прийдется на клиенте ещё писать логику обновления токенов если приходят

короч куки = бояться CSRF, локал сторадж - бояться XSS

А так кука сама повесится через время

Ну эт да

А так кука сама повесится через время

а какая мне разница если токен выдается на 5 минут?

потом будь добр сходи за новой парой рефреш + jwt

не хранить же рефреш токен в куках? у них срок жизни подольше то будет

они и по сети должны ходить только один раз

Так кто что использует?

в контексте SPA - локал сторадж + JWT + рефреш токены

если что попроще - http-only куки

Как я понял jwt шифрует токены?

нет, jwt их подписывает

то есть у тебя тупо json в base64 + подпись

Спасибо

Буду читать про это

jwt.io

самый наглядный ресурс

Так я смысл jwt не понял, если раньше зная токен какого нибудь чувака,мог зайти под его именем на его страницу. И как я понял я тоже самое могу сделать если у меня будет jwt маркер

Смысл шифрования токена тогда какой?

смысл в том что я не храню токен на сервере

ну то есть тебе сервак когда-то (минут 5 назад) дал токен погонять систему минут 10

в токене у тебя будет зашиты айдишки юзера, что ему можно и чего нельзя например

может аватарка еще

что бы лишний запрос не делать.... когда токен приходит на сервер, я вместо того что бы лазать в базу данных за юзером таким и смотреть что он может а чего нет, проверяю подпись и если все ок - разрешаю ему делать что надо

таким образом я могу до бесконечности масштабировать систему на сервере

минус такого подхода - у JWT токена должна быть очень маленькое время жизни, в зависимости от того что может пойти не так. Например если у нас есть блокировка юзеров, даже если я тебя заблочу а у тебя уже есть токен валидный - то ты все еще сможешь пользоваться апишкой пока токен не истечет

то есть если тебе прям критично что бы на каждый чих производилась инвалидация сессий авторизации, ну тогда тебе JWT не подходит

но в подавляющем болшинстве систем хватит того что ты будешь выдавать токен минут на 5

ничего плохого обычно за 5 минут не случается

ну и в целом есть доп решения вроде поставить мидлвэрю вокруг всех эндпоинтов API которые будут инвалидировать чуть что сессии... но это тип... такой редкий кейс

Это получается если я шлю обычный запрос на сервер и отправляю в заголовке мой jwt маркер,то я думаю на сервере должен быть какой-то сервис,который в зависимости от моей подписи в токене дает мне определенные права

Правильно я понял?

Ты работаешь на asp net mvc?

> который в зависимости от моей подписи в токене дает мне определенные права не, определенные права у тебя уже вшиты в json токена (payload), а подпись лишь верифицирует что ты токен не сам сгенерил а тебе его выдал сервак.

Еще вопрос.если у нас вся инфа о пользователе на клиенте зашифрована, как тогда на клиенте узнать что я являюсь админом?

Придумал

она не зашифрована