Не видел, passport.js прикрутили?

еще нет.. пока обойдусь..

смысл? он же обертка вокруг всего того же самого?

Блеклистить нужно любой токен, в случае логаута пользователя как быть же

ну и блеклистить нужно очевидно refresh токен... тк access сам стухает за 10 мин

black list jwt выбери одно

Блеклистить нужно любой токен, в случае логаута пользователя как быть же

так он же стухнет access через несколько минут.. в случае логаута... ну на фронте выйти и рефреш заблеклистить.. надежнее оба токена блеклистить согласен

смысл? он же обертка вокруг всего того же самого?

Смысл в том что если вдруг захотите прикрутить иного провайдера аутентификации

Смысл в том что если вдруг захотите прикрутить иного провайдера аутентификации

нет. даже если будет вход через fb там будет совсем иное.. скорее как помощь в регистрации

так он же стухнет access через несколько минут.. в случае логаута... ну на фронте выйти и рефреш заблеклистить.. надежнее оба токена блеклистить согласен

Вышел пользователь, а данные так же может получать некоторое время , некрасиво

Вышел пользователь, а данные так же может получать некоторое время , некрасиво

засорять хранилище блеклистов тоже не оч. но можно.

значит делаю блеклист в двух случаях. логаут и рефреш. верно?

Если вы будете размышлять о такой степени оптимизации, то пишите на ассемблере

причем в случае рефреш только рефреш токен блеклист... ну и новый на всякий выдаю... хотя можно и старый рефреш оставить..

значит по сути блеклист только при логауте?

Можно рефрешить один и тот же токен по достижении граничного периода его expiration time

Если вы будете размышлять о такой степени оптимизации, то пишите на ассемблере

да все это сыровато я считаю... писал бы для себя сделал просто сессии или просто один jwt без рефреша уж.. но хочеться написать что бы и заказчику понравилось... и так сказать используя модные практики..

Можно рефрешить один и тот же токен по достижении граничного периода его expiration time

я знаю. нет пусть будет 2

Ну вообще право, потом если вдруг поймёте, что придётся переделать, напишите пожалуйста

да нет не придеться.. на фронтенде вроде бы настроил обновление с двумя токенами.. как понимаю блеклистить надо только при логауте?

Тут %80 человек мучаются над авторизацией, все хотят верную практику

Тут %80 человек мучаются над авторизацией, все хотят верную практику

а я и нет общепринятой пока?

Мне нужно проект со всеми зависимостями сбандлить в общий файл с байт кодом , чтобы его потом нодой запустили

Шучу, шучу... не хотелось никого обидеть

Это возможно?

ну я думаю так... со временем что то придумают.. но лучше держаться того что рекомендуют.. В спецификации oauth указано вроде про схему с 2 токенами...

Ага, но есть ещё и спецификация JWT там несколько иная информация, точнее такая что её трактовка многих сбивает с толку

Ага, но есть ещё и спецификация JWT там несколько иная информация, точнее такая что её трактовка многих сбивает с толку

такая что важнее всего stateless принцип?

Потом возникают такие посты как https://t.me/why_jwt_is_bad

Важно найти оптимальный баланс безопасности и производительности.

Пока решения однозначного не озвучено, в основном выкрики это говно и это говно. А как не говно никто не сказал ещё, ебитесь сами.

Пока решения однозначного не озвучено, в основном выкрики это говно и это говно. А как не говно никто не сказал ещё, ебитесь сами.

100%

весь контроллер с учетом упрощений ???

что бы client был доступен после try

Никак

Не var же использовать, упаси боже

Весь "после try" унести внуть try

Eslint-airbnb на вас нет

Весь "после try" унести внуть try

так я только что наоборот вынес...

Начинайте пилить уже passport, там и парсинг body и валидация все в коробке и согласно спецификации и бесплатно

Начинайте пилить уже passport, там и парсинг body и валидация все в коробке и согласно спецификации и бесплатно

думаете все равно быстро все это не закончить?

Начинайте пилить уже passport, там и парсинг body и валидация все в коробке и согласно спецификации и бесплатно

а с пакетом для блеклиста получиться подружить..

так я только что наоборот вынес...

Просто с passport вы будете в рамках, за которые выйти будет сложнее.

Просто с passport вы будете в рамках, за которые выйти будет сложнее.

понял... типа что бы структурировать код итп... а jwt он вроде сам валидирует? пакет jwt тогда убрать придеться.. и как тогда с блеклистом..

Т.е. правильно вам следует построит диалог между клиентом и сервером. Теперь представьте, что разработчик клиента не знает что делалалось на сервере. Он может ориентироваться только на спеку. Вот паспорт, поможет более менее приблизить вас этому

Да не придётся

Хотя возможно я не прав и вам следует все таки допилить, то что начали. Получить решение, а потом заняться когда будет время его рефакторингом

Если уж с небес на землю спуститься, иначе не запилите нифига

Хотя возможно я не прав и вам следует все таки допилить, то что начали. Получить решение, а потом заняться когда будет время его рефакторингом

я тоже так думаю.. разраб фронта тоже я) Просто я вижу в passport тоже кое что лишнее + время

Да не придётся

а я хочу как раз его юзать.. тк с ним и связан пакет для блеклиста.

У вас ещё вперёди сброс пароля, верификация посредством (допустим почты), возможно поддержка ролей

кстати токены которые уже экспиред блеклистить случайно не надо ??

У вас ещё вперёди сброс пароля, верификация посредством (допустим почты), возможно поддержка ролей

я все это делал.. но в продакш не стал..

кстати токены которые уже экспиред блеклистить случайно не надо ??

Сами подумайте, они же у вас уже не валидируются же, зачем тогда их тащить в блек

в этом проекте этого не надо

Сами подумайте, они же у вас уже не валидируются же, зачем тогда их тащить в блек

а вдруг свежий токен когда то совпадет со старым протухшим))

а вдруг свежий токен когда то совпадет со старым протухшим))

Да ну как это возможно

а вдруг свежий токен когда то совпадет со старым протухшим))

Тогда все протухшие тоже нужно в блеклист помещать

Тогда все протухшие тоже нужно в блеклист помещать

ох...

а мы все протухшие и не узнаем) Допустим юзер взял токен и более не заходит.. в общем ерунда..

Да не совпадёт блин, ну там же хэш функция для этого и используется

а не стоит рефреш токен менять тоже, а не только access ?

Как из instagramma экпортировать пост в телеграмм

Как из instagramma экпортировать пост в телеграмм

очень уместный чат

не получиться

?

очень уместный чат

хотя бы вк ?

хотя бы вк ?

1. не надо писать свои сообщения столбиками 2. какое отношение имеет вопрос к теме чата?

1. не надо писать свои сообщения столбиками 2. какое отношение имеет вопрос к теме чата?

ок

Я хочу из сайта взять информация как это делать ? что использовать?

Я хочу из сайта взять информация как это делать ? что использовать?

гугл. достаточно погуглить

гугл. достаточно погуглить

ахах ок )) я поняо

л*

Где можно найти исходники кодов ботов на nodejs ? ну с объснениями ? Спс за ранее

Где можно найти исходники кодов ботов на nodejs ? ну с объснениями ? Спс за ранее

Большинстве библиотек для ботов имеют примеру ботов

не хочу какой не будь готовый бот

я не понимаю он пишет

ребят подскажите как можно сделать систему плагинов, чтобы для приложения можно было написать расширение которое отображалось бы на фронте со своими стилями и js а также на сервере могло что то делать?

По-моему это слишком общий вопрос. Не понятно, что за приложение. Что за плагины. По этой теме можно конференцию провести

ребят подскажите как можно сделать систему плагинов, чтобы для приложения можно было написать расширение которое отображалось бы на фронте со своими стилями и js а также на сервере могло что то делать?

вопросищее :)))

По-моему это слишком общий вопрос. Не понятно, что за приложение. Что за плагины. По этой теме можно конференцию провести

ну думаю может кто делал подобное.. Не совсем он общий, а технический просто

Плагины да как в том же хроме или треллоу например.. Плагин имеет доступ к некоторому апи бразуера + вьюхи там свои какие нибудь, скрипты подключать может

ну думаю может кто делал подобное.. Не совсем он общий, а технический просто

Куда уж более общий? Разве что - Как написать приложение?

так что задача подключить код плагина к сервису..

Плагин для браузера?

Плагин для браузера?

для сервиса.. Короче более конкретно - клиент в своем профиле устанавливает расширение. Расширение может написать любой.. У расширения должен быть скрипт, который будет обрабатываться на сервере. Это сейчас главная задача

это уже целые сервисы

ну короче вот как у треллоу например.. Ты можешь добавить расширение и оно добавляется и в пользовательский интерфейс и на сервере может что то с пользовательскими данными сделать

по разному делается.

можно через подключаемый скрипт и сокеты. как душе будет угодно

можно через подключаемый скрипт и сокеты. как душе будет угодно

че? Какие сокеты какие скрипты )