и вот я ищу тоже самое но для моего стэка

Опа че появилось https://nodehandbook.com

оО, сегодня день программиста?

поздравили в личку вдруг..

С праздником товарищи

оО, сегодня день программиста?

Нуда

и вот я ищу тоже самое но для моего стэка

на ноде не найдёшь, забей

на ноде не найдёшь, забей

блэт

t.me/why_jwt_is_bad

хватит спамить этим каналом

там по существу мало

В статье "Anatomy of a JWT Token Part 2" хорошо описаны некоторые проблемы, но когда в минус записывают такое: Если в коде не предусмотрена проверка подделки алгоритма, токен JWT будет отмечен как успешно прошедший аутентификацию... Это позволит злоумышленнику получить доступ к ресурсам на сервере... И такое: В качестве примера скажем, что хакер взломал клиента 2, и теперь знает секретный ключ, предоставленный сервером авторизации, который будет использоваться для подписи JWT, выпущенного сервером. Теперь хакер может перехватывать запросы... То можно продолжить так: SSL - фикция, если злоумышленник украдёт приватный ключ, то он сможет читать трафик. AES - вообще ни на что не годен, если программист забудет выполнить шифрование данных, то они не зашифруются!

+ все и так знают, что jwt не очень, но аналогов нормальных мало. готовых

В статье "Anatomy of a JWT Token Part 2" хорошо описаны некоторые проблемы, но когда в минус записывают такое: Если в коде не предусмотрена проверка подделки алгоритма, токен JWT будет отмечен как успешно прошедший аутентификацию... Это позволит злоумышленнику получить доступ к ресурсам на сервере... И такое: В качестве примера скажем, что хакер взломал клиента 2, и теперь знает секретный ключ, предоставленный сервером авторизации, который будет использоваться для подписи JWT, выпущенного сервером. Теперь хакер может перехватывать запросы... То можно продолжить так: SSL - фикция, если злоумышленник украдёт приватный ключ, то он сможет читать трафик. AES - вообще ни на что не годен, если программист забудет выполнить шифрование данных, то они не зашифруются!

Бред не пиши

В статье "Anatomy of a JWT Token Part 2" хорошо описаны некоторые проблемы, но когда в минус записывают такое: Если в коде не предусмотрена проверка подделки алгоритма, токен JWT будет отмечен как успешно прошедший аутентификацию... Это позволит злоумышленнику получить доступ к ресурсам на сервере... И такое: В качестве примера скажем, что хакер взломал клиента 2, и теперь знает секретный ключ, предоставленный сервером авторизации, который будет использоваться для подписи JWT, выпущенного сервером. Теперь хакер может перехватывать запросы... То можно продолжить так: SSL - фикция, если злоумышленник украдёт приватный ключ, то он сможет читать трафик. AES - вообще ни на что не годен, если программист забудет выполнить шифрование данных, то они не зашифруются!

У SSL не один уровень защиты

Бред не пиши

Если в коде не предусмотрена проверка подделки алгоритма это ли не бред?

хакер взломал клиента 2, и теперь знает секретный ключ... Теперь хакер может перехватывать запросы А от этого защита где-то уже предусмотрена?

Если в коде не предусмотрена проверка подделки алгоритма это ли не бред?

Ты исходники библиотек вообще видел?

Ты исходники библиотек вообще видел?

Я про статью а не про исходники.

Ни одна библиотека полностью спеку не реализует

хакер взломал клиента 2, и теперь знает секретный ключ... Теперь хакер может перехватывать запросы А от этого защита где-то уже предусмотрена?

Ну окей

Это бред

Согласен

И я тоже согласен что у JWT есть проблемы.

как то грустно это все

Вы что, совсем ебанулись?

по ходу да

нет, только немного

джаваскриптизеры же

Похоже, что совсем. Который день тут жвт срач

Похоже, что совсем. Который день тут жвт срач

я сразу из него выписался, так что я только немного ебанутый.

а я просто ищу решение

Похоже, что совсем. Который день тут жвт срач

какие есть варианты ?

А можете рассказать - у фреймворка loopback 3 нормальная авторизация или хрень? Там же не jwt используется, а сессии вроде как?

Я не знаю, что ты имеешь в виду под нормальной, но пару лет назад он был чертовски хорош. Не пользовался уж полгода как, но впечатления от него очень положительные.

Год полёта, около 3к пользователей, нареканий не было.

Год полёта, около 3к пользователей, нареканий не было.

Да я хотел понять, там авторизация как-то через сессии же сделана, не jwt ?

Насколько я помню да.

Токен в БД и токен в сешн сторадже.

Вопрос а почему loopback выбран был? Я в начале с файрбейс разбирался, потом обнаружил Parse, поставил у себя и остался доволен: по сравнению с firebase разработка на локальной машине гораздо удобнее и быстрее. А про loopback сейчас из диалога узнал. И буду признателен, если скажете своё мнение.

Вопрос а почему loopback выбран был? Я в начале с файрбейс разбирался, потом обнаружил Parse, поставил у себя и остался доволен: по сравнению с firebase разработка на локальной машине гораздо удобнее и быстрее. А про loopback сейчас из диалога узнал. И буду признателен, если скажете своё мнение.

а что за Parse ?

можно ссылку ?

Этот, что ли? https://parseplatform.org/

Да

(node:3384) DeprecationWarning: current URL string parser is deprecated, and will be removed in a future version. To use the new parser, pass option { useNewUrlParser: true } to MongoClient.connect. ---> Server on port: 5000 <--- (node:3384) DeprecationWarning: collection.ensureIndex is deprecated. Use createIndexes instead. ---> mongo connected <---

так ведь рядом написано же

Вопрос а почему loopback выбран был? Я в начале с файрбейс разбирался, потом обнаружил Parse, поставил у себя и остался доволен: по сравнению с firebase разработка на локальной машине гораздо удобнее и быстрее. А про loopback сейчас из диалога узнал. И буду признателен, если скажете своё мнение.

Конкретно на том проекте был выбран за то, что хорошо умел делать модели для ангуляра и андроида из коробки. Ну удобство в отладке.

(node:3384) DeprecationWarning: current URL string parser is deprecated, and will be removed in a future version. To use the new parser, pass option { useNewUrlParser: true } to MongoClient.connect. ---> Server on port: 5000 <--- (node:3384) DeprecationWarning: collection.ensureIndex is deprecated. Use createIndexes instead. ---> mongo connected <---

https://github.com/Automattic/mongoose/issues/6880

https://github.com/Automattic/mongoose/issues/6880

я читала это, не могу понять, что там с подключением монго не так.

я передаю с другого файла ссылку на mlab и подключаю в app.js

Там действительно всё написано

И даже написано что делать

Оно ж не просимы, а ивенты

Конкретно на том проекте был выбран за то, что хорошо умел делать модели для ангуляра и андроида из коробки. Ну удобство в отладке.

Ок. Спасибо всех с праздником

И у тебя в консоли просто варнирги о деприкейшене. Что с ними делать там же написано

если должно быть так, то надпись в консоли не пропала

точнее осталась только эта

DeprecationWarning: collection.ensureIndex is deprecated. Use createIndexes instead.

лучше создвай коннекшон, удобнее будет работать с монгой, да и несколько бд можно будет нормально подключить const connection = mongoose.createConnection(url, config)

DeprecationWarning: collection.ensureIndex is deprecated. Use createIndexes instead.

Убери там useCreateIndex: true,

а после всего этого, некст строкой напиши это mongoose.set('useCreateIndex', true);

все, пропала, спасибки:)

Индексы, если они нужны вообще, лучше создавать вместе с моделью.

Индексы, если они нужны вообще, лучше создавать вместе с моделью.

есть ссылка, где можно почитать о том, что ты сейчас написал?

есть ссылка, где можно почитать о том, что ты сейчас написал?

https://mongoosejs.com/docs/guide.html И спускаемся до indexes

https://mongoosejs.com/docs/guide.html И спускаемся до indexes

то есть, если это регистрация с двух полей к примеру, email, password, как понять, нужны ли они там

то есть, если это регистрация с двух полей к примеру, email, password, как понять, нужны ли они там

Все зависит от количества записей в базе.

если база небольшая, чел так на 2к

если база небольшая, чел так на 2к

На самом деле можно создавать. Я по дефолту сразу делаю. Там пару строк, а жизнь сразу упрощают

Прораммиста

наконец-то

хоть кто-то заметил

Лел

С днём погроммиста, айпишники!

я ещё с утра всех поздравил

всех с праздником!

хочу сделать авторизацию, основаннаю на ролях с таблицами roles user_roles

хочу сделать авторизацию, основаннаю на ролях с таблицами roles user_roles

делай

через orm sequilize

подскажите, плиз, хорошие примеры

подскажите, плиз, хорошие примеры

Батя дал добро, делай на здоровье

chaining assigment в топку сразу