ну да, узнать нужно ли проверять чей то токен можно только сходив в базу

да

За 10 минут, пока токен валиден, можно будет наделать дел

окей )

ну да, узнать нужно ли проверять чей то токен можно только сходив в базу

так зачем там жвт вообще?

сессии это тоже самое

только надежнее

нет проверки подписи на каждый запрос

можно сократить на 50%, рандомизируя, ведь вероятность, что пользователь не забанен выше

Ебать

Весело у вас тут

можно сократить на 50%, рандомизируя, ведь вероятность, что пользователь не забанен выше

Можно не банить вообще, свобода слова :D

Рандомизировать аутентификацию предлагают

можно сократить на 50%, рандомизируя, ведь вероятность, что пользователь не забанен выше

вот это норм, надо так делать я считаю

Охуенно вообще

то есть в случае аутентификации, jwt увеличивает нагрузку на сервера, по сравнению с сессиями потому что проверка подписи это не простая операция

можно сократить на 50%, рандомизируя, ведь вероятность, что пользователь не забанен выше

можно выключить сервер кому надо подождут

вот это норм, надо так делать я считаю

Мне начинает казаться, что это просто троллинг

профита нет никакого, только большая вероятность обнаружить дыру в реализации

ну если тимлиду вменяемо показать статистику и цифры предложенной оптимизации, то скорее всего решение одобрят

Мне начинает казаться, что это просто троллинг

походу надо выдавать таким ребятам ридонли если что у сообщества _ru есть бот отвечаешь человеку на сообщение текстом: !ро (причина) и ему дается ридонли на сутки (вместо (причина) пишешь настоящую причину без скобок)

походу надо выдавать таким ребятам ридонли если что у сообщества _ru есть бот отвечаешь человеку на сообщение текстом: !ро (причина) и ему дается ридонли на сутки (вместо (причина) пишешь настоящую причину без скобок)

Я вкурсе

гуд)

походу надо выдавать таким ребятам ридонли если что у сообщества _ru есть бот отвечаешь человеку на сообщение текстом: !ро (причина) и ему дается ридонли на сутки (вместо (причина) пишешь настоящую причину без скобок)

ой да ладно, отлично зашел рофл, аппетит только приятнее стал

А, ты не админ

Гы)

ой да ладно, отлично зашел рофл, аппетит только приятнее стал

я закончил есть)

походу надо выдавать таким ребятам ридонли если что у сообщества _ru есть бот отвечаешь человеку на сообщение текстом: !ро (причина) и ему дается ридонли на сутки (вместо (причина) пишешь настоящую причину без скобок)

да )) ты бы всем несогласным ро выдал

да )) ты бы всем несогласным ро выдал

нет)

гуд)

ну ты тоже плохо делал там в 4 сообщения писал по паре слов

да )) ты бы всем несогласным ро выдал

Тут уже неоднократно мусолят эту тему

ну ты тоже плохо делал там в 4 сообщения писал по паре слов

я здесь не админ)

нет)

скажи лучше, а где хранить айди сессии?

Неужели сложно понять?

скажи лучше, а где хранить айди сессии?

у сессии нет id

у сессии нет id

ну вот юзер кинул запрос, я его как определяю?

ну вот юзер кинул запрос, я его как определяю?

сходил с токеном в базу и получил либо юзера, либо ничего

Ну табличка токен->айди

ну ты тоже плохо делал там в 4 сообщения писал по паре слов

Ему нельзя ридонли, кто же будет противостоять JWT в этом чате?)

сходил с токеном в базу и получил либо юзера, либо ничего

а если токен утек?

а если токен утек?

это уже решено, теми же 2 токенами. статей миллионы

библиотеки с фреймворками уже решили эту проблему

сходил с токеном в базу и получил либо юзера, либо ничего

потенциально можно сделать перебор сессий?

потенциально можно сделать перебор сессий?

нет

что за токен то, bearer ?

потенциально можно сделать перебор сессий?

ну вообще да

что думаете про http://auth0.com и подобных?

что думаете про http://auth0.com и подобных?

норм, не надо возиться

они конечно тоже юзают jwt,  но там хренова туча фич из коробки

что за токен то, bearer ?

хз че за термин. можешь генерить токен как угодно, главное чтобы в себе не содержал данных о пользователе

они конечно тоже юзают jwt,  но там хренова туча фич из коробки

их jwt наверно лучше, чем просто jwt

они конечно тоже юзают jwt,  но там хренова туча фич из коробки

ну норм. они уже решили кучу проблем с жвт. но всё равно у них в блоге есть посты о jwt. о сломе обратной совместимости в какой-то момент

ну норм. они уже решили кучу проблем с жвт. но всё равно у них в блоге есть посты о jwt. о сломе обратной совместимости в какой-то момент

А сломают?

А сломают?

уже

Мм, найс)

У нас жвт юзают всё равно ( Я пытался привести аргументы, но всем похуй

Ну и мне тож тогда))

Хорошо фронтом быть

так в итоге то? вот юзер авторизовался, я дал ему токен. он мне шлет его с каждым запросом, я его проверяю беря данные из бд. если токен утек каким либо образом, то что я делаю?

так в итоге то? вот юзер авторизовался, я дал ему токен. он мне шлет его с каждым запросом, я его проверяю беря данные из бд. если токен утек каким либо образом, то что я делаю?

давать доступ по айпи с которого токен брался?

давать доступ по айпи с которого токен брался?

штоааа

что значит утек)

имхо мой варик и то адекватней был

давать доступ по айпи с которого токен брался?

Please, no

что значит утек)

это значит что теперь с этим токеном ломится другой юзер, которому он изначально не пренадлежал. неважно как так случилось

Please, no

ну можно по фингерпринту ?

ERROR: S client not available

а как ты понял, что это другой?

так в итоге то? вот юзер авторизовался, я дал ему токен. он мне шлет его с каждым запросом, я его проверяю беря данные из бд. если токен утек каким либо образом, то что я делаю?

возьми passportjs

а как ты понял, что это другой?

вот именно )

ну можно по фингерпринту ?

В торе его обоссывают

И в новом фф

ну можно по фингерпринту ?

Го по фазе луны

не еби мозг уже дохуя готовых плагинов, библиотек и статей

это значит что теперь с этим токеном ломится другой юзер, которому он изначально не пренадлежал. неважно как так случилось

вот ты

фингерпринт норм тема, пользователи тора и без того скомпроментированы

возьми passportjs

оу ) я думал ты против либ. там же ДЫРЫ

оу ) я думал ты против либ. там же ДЫРЫ

ты идиот?

оу ) я думал ты против либ. там же ДЫРЫ

Нормально обобщил

не надо мне приписывать то, чего я не писал

ты идиот?

возможно. ну ты на вопрос так и не ответил

возможно. ну ты на вопрос так и не ответил

на какой

я тебе ответил на любой вопрос о сессиях

иди статьи читай

юзай готовые протестированные либы

токен утек и чо дальше то )

нахуй здесь баяны обсуждать

токен утек и чо дальше то )

дальше в гугл тебе

искать

rtfm`щики в чате, одмен, помоги!!!

а не работать

Го по фазе луны

нужно просто както опрделять что это тот же юзер из запросов мы имеем как минмум айпи и то что может отдать браузер - фингерпринт еще добавить токену время жизни небольшое и обновлять по этим данным я конечно не эксперт но звучит безопасно

нужно просто както опрделять что это тот же юзер из запросов мы имеем как минмум айпи и то что может отдать браузер - фингерпринт еще добавить токену время жизни небольшое и обновлять по этим данным я конечно не эксперт но звучит безопасно

вот вы сейчас реально по звездам гадаете

httpOnly кука

как минимум

httpOnly кука

csrf

httpOnly кука

ага. куда мне ее в реакт нейтив клиенте поставить? ))

ага. куда мне ее в реакт нейтив клиенте поставить? ))

да хоть в задницу засунь (прости)

да хоть в задницу засунь (прости)

фонд золотых цитат