Орнул с фикса

начинать надо с того, для чего ты апи делаешь

httpOnly кука

сложные слова пошли я сливаюсь у нормального пользователя ни айпи, ни фингер не меняется

вот кстати

где jwt подошел бы

сложные слова пошли я сливаюсь у нормального пользователя ни айпи, ни фингер не меняется

на мобильном инете не меняется айпи? рили?

где jwt подошел бы

Так это в заднице?

на мобильном инете не меняется айпи? рили?

Он троллит, алло

это передавать все данные между клиентом и сервером через жвт с подписью открытым/закрытым ключом

Он троллит, алло

соррян, тригерюсь уже на все подряд ахах

Он троллит, алло

вобще то нет

это передавать все данные между клиентом и сервером через жвт с подписью открытым/закрытым ключом

не аутентификацию, а все данные

соррян, тригерюсь уже на все подряд ахах

Та у вас тут вообще температура норм

на мобильном инете не меняется айпи? рили?

логическое или?

не аутентификацию, а все данные

то есть поверх http

это передавать все данные между клиентом и сервером через жвт с подписью открытым/закрытым ключом

Это не ssl ли?

Это не ssl ли?

тссс

Это не ssl ли?

поверх ssl ж)

Больше шифрований!!

да)

но

то есть поверх http

так в итоге. у меня апи и реакт нейтив клиент. сессии мне не подойдут? (

нет

Больше шифрований!!

jwt это не шифрование

это про подпись (хотя шифрование тоже есть)

так в итоге. у меня апи и реакт нейтив клиент. сессии мне не подойдут? (

подойдут

так в итоге. у меня апи и реакт нейтив клиент. сессии мне не подойдут? (

в чем проблема ставить куку в реакт нейтиве?

показывайте пользователям пул сессий, в случае подозрений на странный заход (ип, этс) уведомления напротив странной сессии, которую надо подтвердить с прошлого утсройства/ип/почты

в чем проблема ставить куку в реакт нейтиве?

во что? ) задницу уже называли

Сессии работают для всего, это проверенный временем инструмент, с которым писали ещё ваши дедка с бабкой

во что? ) задницу уже называли

В любой локальный сторейдж

В любой локальный сторейдж

ну ты знаешь чем обычная кука отличается от httpOnly? )

кейс решали сотни раз разные компании

во что? ) задницу уже называли

всмысле во что? этро строка, куда угодно пихай ее

достаточно погуглить и почитать блоги

а не строить из себя умника

на реакт нейтив не 5 человек пишут

ну ты знаешь чем обычная кука отличается от httpOnly? )

Ну я и не говорил ничего про хттпонли куку

а не строить из себя умника

сорри, умника пока тут строишь только ты )

сорри, умника пока тут строишь только ты )

нет

показывайте пользователям пул сессий, в случае подозрений на странный заход (ип, этс) уведомления напротив странной сессии, которую надо подтвердить с прошлого утсройства/ип/почты

на странный заход а тут говорят про подмену токена насколько я понял

сорри, умника пока тут строишь только ты )

я говорю юзать то, что проверено временем

Черт, стикеры нельзя

ну ты знаешь чем обычная кука отличается от httpOnly? )

httpOnly это чисто браузерная штука, остальным клиентам на этот флаг срать

а не думать что способен решить все проблемы

httpOnly это чисто браузерная штука, остальным клиентам на этот флаг срать

о чем и речь

о чем и речь

И хуй?

Хттп онли это ни разу не необходимое условие

Хттп онли это ни разу не необходимое условие

ну там сказали как вариант это. так чо если токен то утек делать?

о чем и речь

дак в чем проблема то? http only решает проблемы в браузере, которрых нет на мобайле и на серверах

помимо сверки айпи и фингерпринта

ну там сказали как вариант это. так чо если токен то утек делать?

читать статьи

Глеб, ты честно не троллишь?

дак в чем проблема то? http only решает проблемы в браузере, которрых нет на мобайле и на серверах

из мобайла токен не может утечь? )

юзать много способов защиты

ну

@Perkovec мб таки выдать ро? (ты подумой))

из мобайла токен не может утечь? )

В мобайле нет xss

из мобайла токен не может утечь? )

нет!

@Perkovec мб таки выдать ро? (ты подумой))

Я жду ответ

нет!

то есть через сеть данные не могут утечь?

Я жду ответ

от меня?

от меня?

От тебя уже все услышали)

Глеб, ты честно не троллишь?

юзать много способов защиты

на чем тоесть они основываются? на данных от клиента, каких?

ERROR: S client not available

то есть через сеть данные не могут утечь?

сеть тут не причем, юзай https, и httpOnly тут не поможет никак

то есть через сеть данные не могут утечь?

Утек токен, хуяришь его нахой из базы, профит

Утек токен, хуяришь его нахой из базы, профит

да, но как я узнаю что он утек

да, но как я узнаю что он утек

Ты при любом способе не узнаешь наверняка

В пизду

Что за срач, а драки нет?

на чем тоесть они основываются? на данных от клиента, каких?

блин, ну там же дохрена способов. мне так влом всё перечислять (тем более на мобилках я не сильно много знаю)

да, но как я узнаю что он утек

!ро невменяемый

да погуглите вы уже велосипеды готовые хотя бы

!ро невменяемый

r.i.p.

Срсли

Заебали тупые вопросы, ему долбят одно и тоже по несколько раз, а он дальше вопросы все тупее и тупее, будто специально

Если вы про токены- stateful хранилище, httponly cookie, начальные данные отдельным запросом в апи, для каждого поддомена своя кука jwt на свой страх и риск

блин, ну там же дохрена способов. мне так влом всё перечислять (тем более на мобилках я не сильно много знаю)

окей я погуглю но чото мне кажется что микс из того о чем я говорил

из мобайла токен не может утечь? )

если что куки это такой же хэдер, как и всеми любимый Authentication: Bearer blablabla все флаги внутри него чисто чтобы закрыть дыры в браузере

Если вы про токены- stateful хранилище, httponly cookie, начальные данные отдельным запросом в апи, для каждого поддомена своя кука jwt на свой страх и риск

Чем опасна кука для поддоменов?

Чем опасна кука для поддоменов?

Я не помню юзкейс

Бля

Я просто на днях поставил такую в продакшне

Неспокойно мне теперь)

Вот это тред вы настрочили. Сова убивает авантюризм в прогрессивных разрабах

В регрессивных програбах

Неспокойно мне теперь)

Можно общую куку отдельную завести для шеринга стейта между сервисами Но если на поддомене отдельный сервис- желательно отдельно его куку хранить

Вот это тред вы настрочили. Сова убивает авантюризм в прогрессивных разрабах

Авантюризм- удел начинающих

Можно общую куку отдельную завести для шеринга стейта между сервисами Но если на поддомене отдельный сервис- желательно отдельно его куку хранить

Ну я завёл отдельную для всех поддоменов. Копирую при заходе из одной куки в другую, чтобы логин работал для субдомена. Жаль, что ты не помнишь, какой кейс

Авантюризм- удел начинающих

Ну так любая технология была когда-то авантюрой

Ну так любая технология была когда-то авантюрой

Которая основывалась на неком техническом инсайте

А не просто "давайте нахуярим"

Пхп был "давайте нахуярим", к слову

Нет, в то время он был прогрессирующим, ок

блин дурацкий npm package-lock обновляет постоянно

блин дурацкий npm package-lock обновляет постоянно

Ну, он для этого и есть