Sergey
Ну ты ж уже знаешь как будешь делать, чего ж спрашивать)
Stas
вот про второй вариант и спрашивал, вывод сообщения или переадресация)
Sergey
А ты ход конём сделай, и уведомление и переброс
Stas
Ребят, а кто что использует для сессий пользователя?
Stas
я вот сделал джейсон веб токен, записал его в локал сторейдж, но говорят что так хранить не ок
Константин
я вот сделал джейсон веб токен, записал его в локал сторейдж, но говорят что так хранить не ок
А что именно ты туда записал?
Rem1te
Ребят, а кто что использует для сессий пользователя?
генеришь уникальный токен
Кладешь в БД
Кладешь на фронте куда не будь
Подписываешь каждый запрос
- ???
- Профит
Константин
генеришь уникальный токен
Кладешь в БД
Кладешь на фронте куда не будь
Подписываешь каждый запрос
- ???
- Профит
+1
Только подписывая каждый запрос на забудь куда нибудь инкапсулировать логику с ним :)
Sergey
генеришь уникальный токен
Кладешь в БД
Кладешь на фронте куда не будь
Подписываешь каждый запрос
- ???
- Профит
Дык зачем в бд-то? Весь смысл же токенов что они по идее стейтлесс и никуда ходить не надо и на месте проверять можно. Да и протухать они должны.
Rem1te
Sergey
А зря, зря, я поел самописной аутентификации))
Sergey
Или тут вообще не про это речь?
Sergey
Вообще сессии и токены они вроде как два разных подхода, что именно ты Stas пытаешься делать?
Sergey
Сессии на куках строят вроде как
Denis
Доброе утро. Про карму можно вопрос задать?
Denis
Вопрос такой. Карма на 6-7 минут зависает во время запуска (ещё даже до старта карма сервера), и ничего не пишет в логи в этот момент.
Как понять, что она в это время делает?
Denis
Stas
такс
Stas
Я в общем храню джот в локал сторейдже, закрыл доступ к апи и пропускаю добавляя хедер беарер+токен
Stas
но в ноджс чате срач был, что в локал сторейдже нельзя хранить
Rem1te
Грамотный маркетинг Auth0 делает своё дело) OAuth же)
да действительно, читерство называть решения в угоду маркетинга :))
Rem1te
виноват, но главное меня поняли :)
Stas
как раз и написал типа делаешь рандомную строку, пишешь в куки и в бд
Rem1te
куки шлються всегда и отовсюду
как бы мне кажется не лучшее решение
Stas
да действительно, читерство называть решения в угоду маркетинга :))
ты прям чётко описал схему, как мне сказали
Stas
сказали что это лучше джота
Rem1te
а как же запрос между сайтами с подписаной кукой
кука же выставляется относительно сайта запроса а не текущего сайта
Rem1te
а в открытом доступе она что так что так
Stas
я хз что там дальше
Rem1te
и юзер её что в лс что в куках может подменить
Stas
на этих этапах объяснение закончилось
Rem1te
ну как обычно, холивар же
Rem1te
https://learn.javascript.ru/csrf
Stas
это там тоже упоминалось
Rem1te
самая распространенная болезнь кук
Stas
Ну так защити от csrf
Stas
есть же куки с same site
Stas
сделай куку с id на каждый запрос
Sergey
А к стораджам есть доступ у скрипов, но вроде как ограничены по домену, но больше ограничений нет
Stas
еще что-то про моб версию говорили
Stas
у мобилок нет куков что ли?
Sergey
И "разлогинить" в токенах нихрена не просто)
Rem1te
и ещё 101 способ как добавить костылей и велосипедов в свой проект :)
Rem1te
А к стораджам есть доступ у скрипов, но вроде как ограничены по домену, но больше ограничений нет
куку ты тоже можешь вытащить
Stas
то есть если я сделаю на куках, то сайт работать не будет
Stas
так?
Rem1te
И "разлогинить" в токенах нихрена не просто)
если ты просто создаешь токен который сторишь в базе за юзером, то почему бы и нет, удалил токен из базы и гуляй
Rem1te
то есть если я сделаю на куках, то сайт работать не будет
ммм, в браузере будет
кука это браузерная а не мобильная приблуда
Stas
в мобильном браузере будет?
Rem1te
Речь скорее всего шла о том когда ты пишешь бекЕнд для мобильных приложений
Stas
а
Sergey
если ты просто создаешь токен который сторишь в базе за юзером, то почему бы и нет, удалил токен из базы и гуляй
Не не не нельзя так, обычно блэклист заводят. И меня пугает слово бд)
Stas
Ну да ладно, в этот раз доделаю уже так, в следующий попробую с куками
Sergey
Не не не нельзя так, обычно блэклист заводят. И меня пугает слово бд)
Ну вернее можно, но кмк может тормозить
Sergey
Если бд это не КВ хранилище быстрое, а риальни реляционка, да ещё и удалённая
Rem1te
Не не не нельзя так, обычно блэклист заводят. И меня пугает слово бд)
почему бы и нет? если мы говорит не о токене jwt & Oauth
Stas
монго там тоже поливают периодически
Sergey
Ну какой бы токен ни был, лазить в базу насчёт авторизации в каждый запрос как-то расточительно
Sergey
Ну опять же, смотря что понимать под базой и вообще по обстоятельствам)
Rem1te
Ну какой бы токен ни был, лазить в базу насчёт авторизации в каждый запрос как-то расточительно
ну делать логаун по занесения токенов в блек лист а потом каждый запрос чекать не лежит ли твой токен в блек листе тоже глупо
Stas
Я вот не особо понял, допустим есть рандомная строка в бд и в куках, я могу добавить в апи лишнюю проверку для юзера по этой строке и никак больше?
Sergey
Я вот не особо понял, допустим есть рандомная строка в бд и в куках, я могу добавить в апи лишнюю проверку для юзера по этой строке и никак больше?
У тебя ж jwt, какая рандомная строка
Anonymous
Ребят, здравствуйте... Можете кинуть ссылку на чат Angular 2?! не могу найти в телеге
Помню, что был
Sergey
Stas
типа какой толк от такой проверки не пойму
Anonymous
https://t.me/angular_ru
У меня выдает: sorry, this group is not accessible
у Вас все нормально?
Sergey
У меня выдает: sorry, this group is not accessible
у Вас все нормально?
Привет. Ну я в ней прям вот сейчас, правда я туда давно уже присоединился.
Stas
Привет. Ну я в ней прям вот сейчас, правда я туда давно уже присоединился.
ооо, изменник, ушёл в ангуляр 2+
Anonymous
Привет. Ну я в ней прям вот сейчас, правда я туда давно уже присоединился.
Странно как то... можешь меня пргласить?
Stas
я зашёл только что, всё норм
Anonymous
https://gyazo.com/dc2f7d280846fa2f1204c645d852ecb5
Sergey
ооо, изменник, ушёл в ангуляр 2+
Да я там спектатор, пускаю слюни как белые люди пишут на современных фреймворках
Stas
может тебя забанили?
Stas
Да я там спектатор, пускаю слюни как белые люди пишут на современных фреймворках
Я тож посижу поспектатрю