Возможно, не знаю)

Прошу поделиться опытом)

Прошу поделиться опытом)

Коа- логическое продолжение экспресса. Коа написан на промисах, из коробки работает с асинками Библиотек под него написано не так много, как под экспресс, но в большинстве своем они легко портируются

Прошу поделиться опытом)

С выходом восьмой ноды станет вообще маст хев

Koa 2 не заменяет же Экспресс? Или я не так понял: https://github.com/koajs/koa/blob/master/docs/koa-vs-express.md

Koa 2 не заменяет же Экспресс? Или я не так понял: https://github.com/koajs/koa/blob/master/docs/koa-vs-express.md

В плане заменяет?

Мне нужно разработать npm модуль. Как подвязать к проекту модуль, который находится в разработке так, чтоб файлы тянулись из локальной директории?

Koa 2 не заменяет же Экспресс? Или я не так понял: https://github.com/koajs/koa/blob/master/docs/koa-vs-express.md

Это два разных фреймворка

Пробовал npm link - сыпет ошибки: npm ERR! enoent ENOENT: no such file or directory, lstat '/usr/local/lib/node_modules/altiore' npm ERR! enoent This is most likely not a problem with npm itself npm ERR! enoent and is related to npm not being able to find a file. npm ERR! enoent

Из под коробки ничего нет, но есть куча модулей, в т.ч. от разработчиков коа

Ясно)

А как быть с пользователям системы? С правами доступа?

Jwt?)

Jwt?)

Jwt легко хакается и всеми обосран У меня пока внутренние проекты, поэтому я не парюсь

?

А что делать?

Если не jwt?

Какие альтернативы?

Куки

OAuth

SaaS и прочее

OAuth разве не тот же jwt использует ?

Спросили альтернативы, я ответил

2 jwt токена лучше 1 ?:)

Бери больше :)

Ну там вроде accessToken и refreshToken ?:)

Надо выдавать 10 токенов token, superToke, megaToken ну и так далее :)

Ну там вроде accessToken и refreshToken ?:)

И Long-Lived токен в придачу

Рефрешить каждую секунду

И Long-Lived токен в придачу

обмажемся токенами и будем чувствовать себя в безопасности :)

И слить базу к чертям

?

С лонгами токенами и правами отличными

А вообще тема действительно значимая.

У себя использую JWT, Sessions.

безопасность во все времена, но все что изобретают - изобрают люди, а значит найдут люди которые это поломают :)

Знаю, что JWT точно нужно убирать, но альтернативу не нашёл значимую. На каждую "штучку" есть "грешок".

Когда ты там напишешь уже?

JWT - дыра и проблемы с инвалидацией. Используйте обычные токены (не храняшие инфу), а в БД никогда не храните эти токены в том же виде, что и клиенту отдаёте, всегда ещё один уровень шифрования/хеширования. В случае гипотетического слива БД - кул.хакеры не смогут использовать эти токены.

Сидим ждём

JWT - дыра и проблемы с инвалидацией. Используйте обычные токены (не храняшие инфу), а в БД никогда не храните эти токены в том же виде, что и клиенту отдаёте, всегда ещё один уровень шифрования/хеширования. В случае гипотетического слива БД - кул.хакеры не смогут использовать эти токены.

Вообще так в одном проекте делал.

Но хз, туповат был

JWT - дыра и проблемы с инвалидацией. Используйте обычные токены (не храняшие инфу), а в БД никогда не храните эти токены в том же виде, что и клиенту отдаёте, всегда ещё один уровень шифрования/хеширования. В случае гипотетического слива БД - кул.хакеры не смогут использовать эти токены.

Тоесть генерировать случайный ключ, отдавать пользователю, а в БД его же хранить зашифроманным? Окей, а если я не буду хранить в токене информацию что ето за пользователей, сколько раз мне прийдеться дернуть базу пока она откажеться со мной общаться ?:)

Тоесть генерировать случайный ключ, отдавать пользователю, а в БД его же хранить зашифроманным? Окей, а если я не буду хранить в токене информацию что ето за пользователей, сколько раз мне прийдеться дернуть базу пока она откажеться со мной общаться ?:)

Именно. А от юзера шифровать при получении и потом уже сверять с токеном в БД. Один запрос? токен = сессия, сессия = юзер. Первое можно в память засунуть, да и второе тоже, если есть возможность кешировать данные юзера и инвалидируются они не очень часто.

Тоесть генерировать случайный ключ, отдавать пользователю, а в БД его же хранить зашифроманным? Окей, а если я не буду хранить в токене информацию что ето за пользователей, сколько раз мне прийдеться дернуть базу пока она откажеться со мной общаться ?:)

У ноды есть crypto createCypher createDecypher

Не надо в БД ничего зашифрованное хранить

Не надо в БД ничего зашифрованное хранить

Желательно не хранить

Не надо в БД ничего зашифрованное хранить

Зашифрованное = хешированное?

колбеки которые в библиотеках на асинки просто так не заменить? нужно колбек в резолв промиса оборачивать?

колбеки которые в библиотеках на асинки просто так не заменить? нужно колбек в резолв промиса оборачивать?

Да. Чтобы написать const a = await func(), нужно, чтобы func() возвращала Promise

если в await обернуть, мне объект какой-то большой приходит, похожий на response, но там намного больше инфы

Вы учли, что надо ещё дописать resolve(response), если вы в await обернули?

И лучше покажите, как вы в await обернули

Нет, не так надо

ERROR: S client not available

Погуглите лучше про async/await

колбеки которые в библиотеках на асинки просто так не заменить? нужно колбек в резолв промиса оборачивать?

Есть для этого в Bluebird сахар в виде promisify и promisifyAll

request-promise

крч, просто так заменить промисы и колбеки на асинки нельзя? Это вот сторонний модуль и пока его разработчики не сделают какой-нибудь обертки возвращающей resolve async await тут бесполезны?

если я не прав, то просто пойду гуглить дальше

Можно, но надо потрудиться

Это как старый Koa в новой обернуть при помощи koa-convert

Да, грубо сказал, но суть ясна

ясно

благодарю

Всем привет! Первый раз в продакшне ноды, вопрос про pm2 и node-cron. Node-cron стартует прямо в приложении, нет кластетеров, ничего такого пока нет. Таски крона отжирают много cpu. Хочу вынести в отдельный процесс. Не могу нарыть как в pm2 сделать старт двух приложений сразу. Или может просто спавнить процесс тасков из основоного?

Всем привет! Первый раз в продакшне ноды, вопрос про pm2 и node-cron. Node-cron стартует прямо в приложении, нет кластетеров, ничего такого пока нет. Таски крона отжирают много cpu. Хочу вынести в отдельный процесс. Не могу нарыть как в pm2 сделать старт двух приложений сразу. Или может просто спавнить процесс тасков из основоного?

А почему не стартовать их отдельно?

А почему не стартовать их отдельно?

именно так и поступил. npm-скрипт запускает 2 pm2 приложения. Хотел поинтересоваться за лучшие практики

именно так и поступил. npm-скрипт запускает 2 pm2 приложения. Хотел поинтересоваться за лучшие практики

Pm2 ecosystem

Pm2 ecosystem

спасибо

Всем привет! Первый раз в продакшне ноды, вопрос про pm2 и node-cron. Node-cron стартует прямо в приложении, нет кластетеров, ничего такого пока нет. Таски крона отжирают много cpu. Хочу вынести в отдельный процесс. Не могу нарыть как в pm2 сделать старт двух приложений сразу. Или может просто спавнить процесс тасков из основоного?

Pm2 умеет читать json с настройками. Я так штук 5 процессов стартую одновременно

Надеюсь верно вопрос понял

Pm2 умеет читать json с настройками. Я так штук 5 процессов стартую одновременно

уже нашел, спасибо)

Ребят, юзал кто эту библиотеку swagger-express?? https://github.com/fliptoo/swagger-express

ты их по отдельности юзал?

Всм?

я просто прикрутил к проекту express

предположим api работает на backend-example.com, клиент сервится с cdn где нибудь client-example.com и используется cors для доступа к бэку. возможность поставить httpOnly cookie с сервера получается уже нету? ну точнее есть, но она будет считаться 3rd party, которая блочится по дефолту многими браузерами.

в чем проблема проксировать api?

что то я не уверен что cdn откуда раздается статика сможет проксировать

в es6 можно импортировать с передачей параметров? как require('module')(params)?

в es6 можно импортировать с передачей параметров? как require('module')(params)?

нет ES6 модули это статическая привязка импортнул —> вызвал