то есть у тебя тупо json в base64 + подпись

Спасибо

Буду читать про это

jwt.io

самый наглядный ресурс

Так я смысл jwt не понял, если раньше зная токен какого нибудь чувака,мог зайти под его именем на его страницу. И как я понял я тоже самое могу сделать если у меня будет jwt маркер

Смысл шифрования токена тогда какой?

смысл в том что я не храню токен на сервере

ну то есть тебе сервак когда-то (минут 5 назад) дал токен погонять систему минут 10

в токене у тебя будет зашиты айдишки юзера, что ему можно и чего нельзя например

может аватарка еще

что бы лишний запрос не делать.... когда токен приходит на сервер, я вместо того что бы лазать в базу данных за юзером таким и смотреть что он может а чего нет, проверяю подпись и если все ок - разрешаю ему делать что надо

таким образом я могу до бесконечности масштабировать систему на сервере

минус такого подхода - у JWT токена должна быть очень маленькое время жизни, в зависимости от того что может пойти не так. Например если у нас есть блокировка юзеров, даже если я тебя заблочу а у тебя уже есть токен валидный - то ты все еще сможешь пользоваться апишкой пока токен не истечет

то есть если тебе прям критично что бы на каждый чих производилась инвалидация сессий авторизации, ну тогда тебе JWT не подходит

но в подавляющем болшинстве систем хватит того что ты будешь выдавать токен минут на 5

ничего плохого обычно за 5 минут не случается

ну и в целом есть доп решения вроде поставить мидлвэрю вокруг всех эндпоинтов API которые будут инвалидировать чуть что сессии... но это тип... такой редкий кейс

Это получается если я шлю обычный запрос на сервер и отправляю в заголовке мой jwt маркер,то я думаю на сервере должен быть какой-то сервис,который в зависимости от моей подписи в токене дает мне определенные права

Правильно я понял?

Ты работаешь на asp net mvc?

> который в зависимости от моей подписи в токене дает мне определенные права не, определенные права у тебя уже вшиты в json токена (payload), а подпись лишь верифицирует что ты токен не сам сгенерил а тебе его выдал сервак.

Еще вопрос.если у нас вся инфа о пользователе на клиенте зашифрована, как тогда на клиенте узнать что я являюсь админом?

Придумал

она не зашифрована

я ж говорил уже

у тебя токен выглядит так

const payload = JSON.stringify({"uid": "some-user-id", "permissions": ["user_managment", "admin"]); const token = "${base64encode(payload)}.${sign(payload)}";

ну это оч схематично

то есть что бы достать инфу из токена на клиенте ты берешь 2-ую часть токена, делаешь base64 decode и json.parse

и вуаля

вся необходимая информация для авторизации

(естественно никаких секретных данных там лежать не должно, например видел как люди туда email-ы пихают)

А ты на .net работаешь?

Спасибо за информацию

нет, на php в основном

ну и немного nodejs

.net-ом баловался года 4 назад

сейчас все посматриваю на Core и в целом то что я вижу мне дико нравится

но времени никак не могу найти

Я думаю тогда чтоб это все использовать,перед каждым защищенным методом придется свой атрибут писать,который в зависимости от токена и от прав,которые там прописаны,будет решать,можно ли мне достучаться до ресурса или нет

Я думаю обычный authorize атрибут там не пойдет

Сейчас почитаю как это все в .net использовать

эээээм

я думаю любой приличный фреймворк сейчас имеет поддержку JWT

удобную

любой где есть механизмы авторизации встроенные

ну то есть ты из JWT токена генеришь себе на сервере объектик и уже его используешь в правилах авторизации.

в spring или там в php-ном symfony для этого вообще отдельный класный механизм воутеров придуман что бы изолировать все операции по проверке прав в маленькие сервисные объекты

и в коде ты потом делаешь что-то типа

$this->denyAccessUnlessGranted(OrderVoter::CANCEL, $order);

привет, а есть кто юзал cordova ?

Есть

Юзай rn, мы уже переехали

Во всем приложении должен быть только один модуль?

Или как?

Есть тут полуночники?

Ни у кого не было такой проблемы, что $http стал сильно тормозить? Запрос якобы возвращается через 2 секунды, хотя если послать запрос из того же места через jquery.get() по тому же адресу, то запрос возвращается за 200мс

Раньше все норм было, попробовал отключить последние плагины, что навесил недавно, но это не спасло положение

Ни у кого не было такой проблемы, что $http стал сильно тормозить? Запрос якобы возвращается через 2 секунды, хотя если послать запрос из того же места через jquery.get() по тому же адресу, то запрос возвращается за 200мс

Обмен через https? У меня такое в Опере было, оказалось из-за самоподписанного сертификата на стороне сервака

Другие браузеры работали как ни в чем не бывало)

Да, https, но не было такой галимотьи раньше Да и если зайти на продакшен-домен, где более старая версия, то там все летает

прям совсем дичь какая-то

?

Не лепить же jquery запросы вместо старого доброго $http

Так сервер (api) один, а разные версии клиента работают по-разному? Тогда где-то косяк, явно не сертификат, как в моем случае

Так-то никакой регрессии в ангуляре с $http не наблюдается

ERROR: S client not available

Не лепить же jquery запросы вместо старого доброго $http

Вообще не вариант

Ясно-понятно Никто не сделал еще ИИ, который бьет током за плохой код? И второй вопрос, $http посылает запросы асинхронно? Можно послать парочку синхронно?)

Или это уже будет не хорошо?

Ясно-понятно Никто не сделал еще ИИ, который бьет током за плохой код? И второй вопрос, $http посылает запросы асинхронно? Можно послать парочку синхронно?)

Промисы асинхронны

Тогда я не пойму в чем проблема

Убрал шаринг-сервис, который запрашивал кол-во расшариваний на каждую кнопку по отдельному запросу, теперь все быстро

верну - грузит 2с

Промисы асинхронны

Как раз таки можно синхронно написать. Через then. А что не судьба посмотреть в консоли браузера как выполняются аяксы?

Как раз таки можно синхронно написать. Через then. А что не судьба посмотреть в консоли браузера как выполняются аяксы?

Все через then. Но при этом происходит дичь. 2 запроса, но первый не возвращается, пока не завершится второй. Обернул второй в $timeout, теперь этого нет, но ведь так не должно быть и без $timeout!

Просто магия(

Может и не дичь, а например $q.all()

А вообще аякс на каждый элемент списка или чего там - скорее всего - плохая архитектура приложения

А кстати, сервер точно может параллельно 2 запроса с 1 клиента обрабатывать?

А вообще аякс на каждый элемент списка или чего там - скорее всего - плохая архитектура приложения

Уже от этого избавился, но $http все еще уступает $.get в 2 раза

400-600мс против 140-250мс

Ну не может просто так быть 2 аякса синхронно, написано значит так)

Уже от этого избавился, но $http все еще уступает $.get в 2 раза

ты там может сатану из интерцепторов какую устроил?

ну и больше похоже на то что ты реально отправляешь два запроса последовательно через промисы

а не паралельно

(

грустный кот

есть такое

подавить.... брюзжание... про то... что есть сервисный слой.... компоненты... controller as...

в 2 ночи все бывает

а второй запрос то где?

каждый чих в сервис выносить?

да

каджый маленький самодостаточный чих

SRP и все дела

:(

но это мы не об этом сейчас