https://puu.sh/u16DW/fffea5181b.png

здесь например все тот же типичный переброс на логин

раз в 14 дней

я думаю, либо токены перманент, либо на несколько лет

раз в 14 дней

Если с момента последнего входа больше 14 дней

В этом коде

И этот шаг опционально

Если с момента последнего перевыпуска 14 дней

Интересный прием, конечно. Я пока никак не перевыпускаю, просто протухание ставлю большим.

Интересный прием, конечно. Я пока никак не перевыпускаю, просто протухание ставлю большим.

Окей)

Спасибо за ответы

Если с точки зрения безопасности смотреть, то

Если кто-то спалит твой токен с большим протуханием (к примеру год) - то весь год он сможет пользоваться этим токеном, выдавая себя за тебя.

При рефрешинге - токены перевыпускаются чаще, в коде выше раз в пять часов. То есть если кто-то спалит твой текущий токен - то пользоваться им он сможет максимум пять часов, потом придется палить новый.

Хотя при этом никто не мешает этому кому-то спалить у тебя текущий токен, и тут же запросить рефрешинг. Так он получит перевыпущенный токен, которым сможет пользоваться, а у тебя останется старый, уже недействительный

И тебе придется в этом случае перелогиниться, т.к. с твоим уже недействительным токеном запросить рефрешинг ты уже не сможешь.

Однако перелогинившись и получив самый свежий токен - ты оставишь злоумышленника не у дел, так как его перевыпущенный ранее токен станет недействительным, и ему придется снова палить твой новый.

Однако перелогинившись и получив самый свежий токен - ты оставишь злоумышленника не у дел, так как его перевыпущенный ранее токен станет недействительным, и ему придется снова палить твой новый.

Именно)

годная системка, думаю внедрю нам ее

thanks ?

https://gorails.com/episodes/vuejs-jwt-auth-with-rails-api?autoplay=1

в тему

Однако перелогинившись и получив самый свежий токен - ты оставишь злоумышленника не у дел, так как его перевыпущенный ранее токен станет недействительным, и ему придется снова палить твой новый.

так вроде FB делает - токены на 2 часа

https://gorails.com/episodes/vuejs-jwt-auth-with-rails-api?autoplay=1

Странно) во всех статьях чуть ли не капсом пишут, что нельзя для токена юзать что-то кроме хттпс онли куков)

я так и не понял

можно ли юзать knock вместе с devise?

можно, это не связанные друг с другом вещи

Вацап рельсаны

0/

как сам?

Подарки ищу :(

А мог бы работу работать

кстати пацаны, вчера терли за jwt, так вот я че думаю. В качестве секрета к secret_key_base добавлять соль пользователя, а после смены пароля рефрешить соль

и получится при смене пароля логаут на всех устройствах, плюс если хочется логаута то просто сменить соль юзера и рефрешнуть токен

кстати пацаны, вчера терли за jwt, так вот я че думаю. В качестве секрета к secret_key_base добавлять соль пользователя, а после смены пароля рефрешить соль

Чозасоль?

Кстати, @gambala, вчера вроде разработали идеальную стратегию для рефреша токена, а как и правда быть с разными устройствами?

Хранить несколько ключей в базе для своих приложений?

А на паблик апи использовать doorkeeper какой нибудь?

Чозасоль?

солёная, азазазаза)))

ну смысле ты в бд хранишь рандомную строку это соль - пароль хешится как секрет_бейс+пароль+соль_юзера

Google salt

https://saltstack.com/community/

Google salt

Bcrypt. Nado by razobratsa so vsem etim shifrovaniem, ato kak typoi

соли миксы хэши, ДОРОГО

соли миксы хэши, ДОРОГО

?

?

соли, миксы, хеши для ванн - недорого

недорого это md5? хороший хэш - дорогой хэш

твой хеш видимо чище моего)

не ну дорогой каламбур на дорогая вычислительная операция

Привет! А кто-нибудь тестировал сгенерированные xlsx файлы с помощью rspec/capybara?

Привет! А кто-нибудь тестировал сгенерированные xlsx файлы с помощью rspec/capybara?

Если ты работаешь с каким нибудь гемом, который создает / редактирует эти файлы, то конкретно создание и редактирование данных именно так, как ты сказала классу гема уже должно быть протестировано в самом геме. Тебе нужно протестировать, что то или иное действие отправляет определенные методы с определенными аргументами классу/инстансу класса той либы, которая работает с xlsx

Если ты работаешь с каким нибудь гемом, который создает / редактирует эти файлы, то конкретно создание и редактирование данных именно так, как ты сказала классу гема уже должно быть протестировано в самом геме. Тебе нужно протестировать, что то или иное действие отправляет определенные методы с определенными аргументами классу/инстансу класса той либы, которая работает с xlsx

Но если отойти от этого - просто читаешь нужные данные из созданного в процессе теста файла и матчишь их с нужными

Но мне кажется так лучше не делать

Есть ли какой то там символизм в 48 %?

Кстати, @gambala, вчера вроде разработали идеальную стратегию для рефреша токена, а как и правда быть с разными устройствами?

Вероятно да, на каждое устройство хранить свое поле user.issued_at

И при смене пароля - обновлять все эти поля разом - таким образом добиваемся протухания токенов на всех устройствах разом

не проще ли 1-многие сделать и при смене пароля тупо удалять всё

не проще ли 1-многие сделать и при смене пароля тупо удалять всё

А разница? Думаешь это быстрее? Плюс запросов к базе больше

больше на один? ооок прост 1-многие и проще выклядит как-т

ну и я выше писал что не очень понимаю киллер фичи jwt

ERROR: S client not available

больше на один? ооок прост 1-многие и проще выклядит как-т

Больше на число, равное кол-ву устройств

эм, нет

А, да, ты прав, на один.

да ?

Да, 1-многие легче масштабировать

на N-приложений и других клиентов

1-многие это one to many имеется в виду?

аха

Какой же классный дудл

Какой же классный дудл

повесил мне браузер

повесил мне браузер

Ну хз. Меня очень проперло от такой милоты)

А то, что браузер повесил - терпимо)

ага, зато пирог испёк)

Мне вот интересно, почему нет стандарта никакого, что-бы если с телефона платишь картой - он открывал бы приложение банка, а не вводить реквизиты руками

Есть очень удобный гугл плей в этом плане (платежи), но с ним не каждый будет работать, так как он вроде берет дикую комиссию

Парни, тут про синкнетику часто говорили

Вопрос У них сейчас скидка на продвинутую RoR-программу Что скажете? Смысл имеет?

я хз как другие, но скептически к курсам отношусь если уже есть работа лучше её работать

SO шапку поменял

У всех постепенно что-то шапку сносят. У СО хотя бы в лучшую сторону

Может это акция какая?! - переведём на чёрный... ?

да, они молодцы

Крутотень

Это с валютным контролем значит не надо заморачиваться? А курс конвертации нормальный?

Там же написано 99 центов с доллара получаешь

Мы про курс конвертации

99 центов - комиссия за вывод

Так это же от твоего банка зависит не?

Или они рубли уже высылать собрались?