Anonymous
про стрим забыл)
Nurik
Всем привет. Подскажите есть ли какой-нибудь стандарт по генерации секюрных токенов ?
Konstantin
Anonymous
Удвою jwt
Rem1te
jwt +1
Denis
А недавно тут jwt поливали тоннами говна
Sergey
нет смысла юзать jwt для аутентификации
Sergey
Всем привет. Подскажите есть ли какой-нибудь стандарт по генерации секюрных токенов ?
нет ничего секьюрнее сгенерить на сервере огромный хэш от времени и id
и положить в базу
Sergey
все эти jwt не имеют смысла для таких целей как аутентификация юзера в окружении браузер-юзер-сервер
Anonymous
Почему
Егор
Для аутентификации в апи jwt отлично подходит.
Nurik
В общем пока выбрал JWT. У меня клиенты мобильные приложения. Всем спасибо.
V
у JWT проблема с его инвалидацией, но можно допустим дату смены пароля в него вшивать
Антон
у JWT проблема с его инвалидацией, но можно допустим дату смены пароля в него вшивать
какая проблема? пришел невалидный токен - запрашивай ввод пароля) если такой вариант не подходит, то jwt - не лучший выбор
V
какая проблема? пришел невалидный токен - запрашивай ввод пароля) если такой вариант не подходит, то jwt - не лучший выбор
Пользователь сбросил пароль, как предыдущие токены обнулить?
Антон
при следующем запросе придет ошибка, и выкидываешь его на логин, или попап делаешь с формой логина
V
при следующем запросе придет ошибка, и выкидываешь его на логин, или попап делаешь с формой логина
Как при декодировани jwt понять, что он больше не валиден?
V
То есть откуда должна ошибка идти :)
ixplo
Не надо ничего декорировать. Просто сверять токены )
Антон
Приходит от фронта токен, декодируешь, а там другой пароль - profit
V
Приходит от фронта токен, декодируешь, а там другой пароль - profit
Хранить пароль в токене это прям убийство какое-то :)
Я к тому, что без доп логики не все так радужно
ixplo
Юзайте рандомные строки и не парьтесь )
ixplo
Ну это я так типа выступил против
Антон
Да, что-то я не то ляпнул)
Ща гляну, как у нас реализовано
Антон
Хранить пароль в токене это прям убийство какое-то :)
Я к тому, что без доп логики не все так радужно
Andrew
Ребят, помогите пожалуйста, проблема с npm пакетами
Проект разрабатывался больше года, и постоянно дополнялся новыми npm пакетами, которые ставились через npm i xx --save или --save-dev и вот пришло время поднимать проект у других разработчиков и при команде npm i пакеты ставятся но похоже что ставятся не полностью. В конечном итоге, количество директорий существенно отличается от рабочей версии.
Версия Ноды постоянно менялась в процессе разработки и все пакеты ставились на разных версиях.
Подскажите пожалуйста как быстро возможно решить проблему, так чтобы все в конечном итоге работало
Возможно ли навести там порядок или это не посильная задача?
заходишь в node_modules, сверяешь список с тем что прописано в package.json, походу что-то ставилось без флагов —save —save-dev, фиксишь package.json, дублируешь проект в другую папку без node_modules, тестируешь, повторяешь до профита. Еще версии модулей неплохо бы проверять.
Rem1te
Как при декодировани jwt понять, что он больше не валиден?
я хранил дату обновления пароля в рефреш токене, не совпадает - разлогинить нахер
V
я хранил дату обновления пароля в рефреш токене, не совпадает - разлогинить нахер
Ну да, я про это же, то есть нужны доп телодвижения (хранить дату смены пароля например)
Rem1te
Ну да, я про это же, то есть нужны доп телодвижения (хранить дату смены пароля например)
да ну ладно, не такие это уж и большие телодвижения :)
Rem1te
Всяко лучше чем каждый раз базу дёргать с вопросом "А КТО ЕТО ко мне пришел?" :)
Rem1te
и можно ли ему сюда ходить :)
V
Возможно базу все равно придется дергать, чтобы получить больше данных о юзере \ доступах :)
Но я к тому, что по-умолчанию он работает фигово
V
PS у нас jwt тоже используется
Rem1te
ну если у тебя 2 роли то не нужно :) токен или есть или нет
Rem1te
А если больше можно просто роль зашивать в токен
Sergey
Возможно базу все равно придется дергать, чтобы получить больше данных о юзере \ доступах :)
Но я к тому, что по-умолчанию он работает фигово
JWT для других целей лучше подходит
Sergey
когда мы делали аналог OAuth2
Он отлично подошел
Anonymous
Всем привет! Я тут взял за привычку проксировать порты в nginx, считая что это просто необходимо, вычитав где-то что у посетителей могут быть проблемы из-за нестандартных портов. "Ведь у ряда пользователей блокируется нестандартные подключения к интернету с помощью межсетевого экрана. То есть запрещены подключения на неизвестные порты."
И написал тут на днях прослойку для хранения кеша в Redis... И пофапал, как оно вжух и работает... 300ms vs 3ms на отклик... и дошло до меня потом, что это пинг локалки... И дошло в итоге что проксирование тут не причем, а то что на сервере ответ приходит не в разы быстрее, а лишь немного быстрее с 150-200мс - что причиной тому банальный пинг... И посему, мой вопрос самовсхлопнулся...
Но все же, на всякий случай поинтересуюсь.
Сказывается ли на производительности сайта, проксирование портов при помощи nginx?
Bogdan
А что не так с редис?
Я не сторонник, просто интересно
Bogdan
Да, кстати
Есть такие, кто horizon использовал?
Aleksand
Bogdan
Дурной бывает) мне ерезагрузка с очисткой кэша помогает от таких вещей время от времени избавляться
Bogdan
Еще можно папку .идеа удалить в корне проекта, тоже мозги освежает
Zaur
Lev
а почему не сублим?
Bogdan
File => Invalidate cache => Invalidate and restart
Bogdan
По-моему так, под руками нету на чем посмотреть как точно
Bogdan
Но точно помню, что в меню файл
Zaur
чистка кеша не помогла :(
Denis
Или про неё просто забыли?
Dmitry
Думаю что забили
Dmitry
Она не LTS
Dmitry
Если я правильно помню
GG
hi, собираю реакт на ноде, пользуюсь вебпаком и вебпак-дев-сервер, которые пересобирают проэкт при изменении файлов, тоесть вквлючина опция вотч, было все норм, добавил несколько файлов в проэкт, и теперь вебпак ругаеться
GG
GG
проблема заключается в настройке ядра ОС, точнее в подсистеме inotify ядра linux, которая получает уведомления о событиях, связанных с файлами и каталогами
GG
GG
стоит это делать?
Lev
сложно. я бы на лоре поспрашивал.
Lev
https://www.linux.org.ru/
Nook
Savo
Svg можно на css кастомить?
GG
hi, собираю реакт на ноде, пользуюсь вебпаком и вебпак-дев-сервер, которые пересобирают проэкт при изменении файлов, тоесть вквлючина опция вотч, было все норм, добавил несколько файлов в проэкт, и теперь вебпак ругаеться
кстати, такаой трабл, только с дев-сервером, у вебпак ватч норм работает
Фεδως
Но логичнее было бы разобраться в том
GG
Абсолютно спокойно можешь делать
тут проблему вот в чем. я то сделаю, тогда придеться это делать всем соим коллегам, которые работают над этим проэктом