Я в данный момент делаю апи для мобильного приложения. В JWT держу айди пользователя и массив его ролей. Благодаря этому мне не нужно обращаться к базе при каждом запросе, чтобы узнать, может ли юзер выполнить то, или иное действие. Кроме того, мобильникам не нужно парсить/собирать куки у себя. В реактовой админке тоже будет аутентификация с JWT, что позволит апишку повесить на домене api.*.

При этом нельзя будет эти данные получить из токена напрямую

Кстати, вопрос возникает при этом Можно ли по зашифрованной строке узнать, каким шифром она была сгенерирована?

В JWT же, вроде, явно указывается тип шифра

Ну само знание алгоритма мало что дает. Вот HTTPS тоже сообщает, какой алгоритм используется.

Да и в простом случае в JWT не шифр, а хеш

Ознакомился с таблицей, которую @ChALkeR скинул. Теперь меня смущает возможноть любого скрипта увидеть токен, лежащий в локальном хранилище :)

Не решается ли часть проблем с JWT, если для веб-клиентов держать токен в куке?

Не решается ли часть проблем с JWT, если для веб-клиентов держать токен в куке?

имхо, лучше написать свое решение, чем использовать JWT

Может, на ноде уже реализовано что-то свое

Канэш, надо всегда все делать своё. Нафиг стандарты и известные решения

Всем привет есть ли готовый модуль для управления форматом вывода ресурсов для каждой модели ? Чтобы можно было регулировать какие поля показывать а какие нет по дефолту.

фреймворк express

Нужен аналог типа fields из yii2

тебе нужно просто убрать некоторые поля из выдачи типа?

Канэш, надо всегда все делать своё. Нафиг стандарты и известные решения

Что можешь предложить лучше JWT?

Что можешь предложить лучше JWT?

srp 6 ?

Что можешь предложить лучше JWT?

сейчас начнётся про Bearer

сейчас начнётся про Bearer

srp 6 ?

srp 6 ?

ладно, не начнётся :)

ахаха

srp 6 ?

Отлично, есть что почитать

Пишу как раз модуль. Вернее взял srp 6 от мозилы и пытаюсь ее совместить с jwt. Если смогу подтвердить свою гипотезу, то будет модуль.

Что можешь предложить лучше JWT?

чем тебя ЖВТ не устраивает? Отличная же штука!

чем тебя ЖВТ не устраивает? Отличная же штука!

нормальная библиотека, не спорю

чем тебя ЖВТ не устраивает? Отличная же штука!

Тем, что данные может прочесть кто угодно

Тем, что данные может прочесть кто угодно

какие данные??? хэш?

какие данные??? хэш?

JWT токен в открытом виде хранит данные внутри него Они не зашифрованы

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

я не уверен, что не зашифровано :)

какие данные??? хэш?

Народ не вдупляет разницу между авторизацией, аутентификацией и то что данные с этим связаны конечно, но хотят чтобы и сессия была закрыта. + О теоретической возможности посредничества не думают. Вот и получаются что либы гавно)))

{ "sub": "1234567890", "name": "John Doe", "admin": true }

{ "sub": "1234567890", "name": "John Doe", "admin": true }

и что тебя смущает?

и что тебя смущает?

Потенциальной возможностью бездумно добавить туда что-то лишнее

Потенциальной возможностью бездумно добавить туда что-то лишнее

добавь соль и поменяй алгоритм шифрования, почитай ман к либе

Потенциальной возможностью бездумно добавить туда что-то лишнее

Ты канечно не принимай на свой счет, но ты понимаешь что такое токен, когда и как он создаётся и что вообще должен в себе хранить?

Ты канечно не принимай на свой счет, но ты понимаешь что такое токен, когда и как он создаётся и что вообще должен в себе хранить?

Я не о себе говорю

Потенциальной возможностью бездумно добавить туда что-то лишнее

Если добавить что-то в токен, то он перестанет валидироваться

Для этого нужна третья часть токена

Если добавить что-то в токен, то он перестанет валидироваться

Спасибо, я знаю

А ниче, что самій распространённый случай, это геннерить ключ юиидом?

он гарантированно тебе сгенерит уникальный ключь

Прогер, который не знает, как хранит JWT данные (прим. в открытом виде), может передать на клиент закрытую инфу. Какую-хз. Как ее добыть- тоже не буду распространяться, это уже другой вопрос. Но как факт, кто-то может положить туда то, что не должно быть там

Это понятно. То же самое можно сказать о данных, которые возвращает любой API.

Это понятно. То же самое можно сказать о данных, которые возвращает любой API.

Тем не менее

и политики можно написать нормальные

Можно добавить добавить и срок хранения ключа, и еще где-нибудь чем-нибудь обмазаться, но имхо- это равноценно дыре

Тем не менее

Как тем не менее? Ведь сам себе злой буратино, если положил в пейлод пароль)

ребят у меня такой вопрос

Есть еще такая штука как JWE

у меня сервер отдает 400 если протух токен, но потом дальше кидает на другой обработчик что выдает 500 всегда при последующих даже нормальных запросах

как избежать этого?

у меня сервер отдает 400 если протух токен, но потом дальше кидает на другой обработчик что выдает 500 всегда при последующих даже нормальных запросах

Мало контекста. Чей токен, что за сервер?

есть jwt

клиент юзает его

если он протух, сервер отдает 400 что-то типа того

сервер на express

Есть еще такая штука как JWE

In fact a JWT does not exist itself — either it has to be a JWS or a JWE (JSON Web Encryption). Its like an abstract class — the JWS and JWE are the concrete implementations.

In fact a JWT does not exist itself — either it has to be a JWS or a JWE (JSON Web Encryption). Its like an abstract class — the JWS and JWE are the concrete implementations.

Я в курсе, обычно юзается только JWS

сервер на express

Токен ты проверяешь руками? Или какой-нибудь passport.js?

jwt-simple

jwt-simple

Получается ты сам написал какой-то middleware и имеешь полный контроль, какие http коды отдавать?

да слушай глянул код...тут 500 отдаю

ща сам посмотрю без кода как

Как тем не менее? Ведь сам себе злой буратино, если положил в пейлод пароль)

Так я к этому и клонил всю беседу, что нужно предложить злым буратино такой же простой вариант, но более безопасный

Вопрос по организации кода. Есть 3 десятка моделей, примерно столько же менеджеров для них, и 3 запчасти сервера: RESTful API, Socket.IO API и несколько воркеров, которые смотрят за Redis и ZMQ. Всё это живёт под PM2 как отдельные процессы (с кластеризацией). Сейчас добавилось несколько разработков в проект и количество обновлений не позволяет ручками git pull & pm2 restart $module. Если оставить всё как сейчас, в одном репозитории, то при коммите изменения в HTTP API будет пересобираться и рестартовать Socket.IO, а это не хорошо: после обрыва соединения надо подгрузить много данных и т.д. Короче, Socket.IO лучше рестартовать по минимуму. Вопрос: как разнести это по отдельным репозиториям, но при этом корректно утянуть модели? Git submodules VS NPM git modules? Submodules как то не хочется использовать, больно это. А с NPM не получится быстро и удобно обновлять модели (поправил строчку, рестартанул dev-server). Плюс если они из git подключаются, то у yarn с их обновлением проблемки есть.

Подскажите что делает метод sync() в sequelize ? Применяют его как для моделей, так и для соединения в целом. Что он делает ?

В доке наприсано: Sync all defined models to the DB. Вот что значит Sync ? Что при этом происходит ?

Ребят, кто работал с parse server? Какие впечатления?

Ребят, кто работал с parse server? Какие впечатления?

Тот который закрыли?

Тот который закрыли это parse, а parse server - это то что выложили в общий доступ

Теперь можно взят исходный код parse и развернуть у себя

У меня на одном проекте был

Господа а подскажите деплоймент тулзу

Да

чем пользуетесь лично

чем можно сгенерить доку для rest api?

Кто может подсказать, какие есть знаменитые сайты, работающие по WebSockets?

чем можно сгенерить доку для rest api?

Ну тут смотря на чём он проектировался. Я сваггер юзаю (http://swagger.io/)

Ну тут смотря на чём он проектировался. Я сваггер юзаю (http://swagger.io/)

сваггер есть, нужна отдельно дока

https://github.com/swagger-api/swagger-codegen