И это, того.

ааа

По-моему, у клиента монги был апи на промисах встроенный

ну я и тупой ^_^

Так что ты этот огород зря строишь, кмк.

По-моему, у клиента монги был апи на промисах встроенный

Если не передавать туда коллбек - он вернет промис

Во-во. Только с еачем там проблема была — для него не осилили промисы почему-то.

И ещё.

@rmnff Мне кажется, ты пытаешься на каждую операцию подключаться к базе и потом отключаться. Это слегка неоптимально.

Если не передавать туда коллбек - он вернет промис

Если mongoose то он возвращает query объект который тоже имеет then метод, но это не промис. Чтобы вернуть промис надо .exec() дописать, а ещё по хорошему забиндить нативные/блюберд промисы(там вроде встроенные mPromise и они deprecated)

Я про монгоклиент

А, чёт не увидел что вопрос про монгоклиент

Сорян

Если mongoose то он возвращает query объект который тоже имеет then метод, но это не промис. Чтобы вернуть промис надо .exec() дописать, а ещё по хорошему забиндить нативные/блюберд промисы(там вроде встроенные mPromise и они deprecated)

какой промис вы используете обычно для mongoose?

Я нативные использую

Я нативные использую

mongoose.Promise = global.Promise ?

С другими правда не работал, здесь писали что блюберд лучше по скорости

Ага

Спасибо. Не помню почему, у меня продолжал показывать предупреждение про deprecated :(

Кстати, да Я использую mongoose, сразу после инициализации добавляю промисы bluebird, однако все равно ошибка валится

Как отследить первый вызов require?

Йо. Можете объяснить, что означает здесь слово децентрализация? То есть данные хранятся на клиентах, а сервер только аккаунты хранит или как? https://mastodon.social

Интересно, как организован поиск по таким серверам. Если мне например нужно найти конкретное id, а оно может быть на любом из десятков серверов.

есть у кого на примете нормальный excel pasrser?

Всем прив Никто не подскажет, где можно почитать об аутентификации в SPA приложении?

Всем прив Никто не подскажет, где можно почитать об аутентификации в SPA приложении?

JWT, oauth2

(сейчас опять кто-то напишет какой JWT плохой)

Спасибо. Не помню почему, у меня продолжал показывать предупреждение про deprecated :(

У меня не выскакивает, завтра уже гляну точный код и версию монгус

jwt нинужин

http://cryto.net/~joepie91/blog/attachments/jwt-flowchart.png

Всем прив Никто не подскажет, где можно почитать об аутентификации в SPA приложении?

Такая же как везде ) прочитай просто об аутентификации для начала

Я бэкендер, я примерно понимаю

(на пшп (бэкендер-инвалид))

Но в связке с реактом, к примеру не выкупаю

jwt нинужин

даже без всех эти размашистых доводов, можно просто без кук поработать с закрытыми авторизацией ссылками и потом смело всю жизнь использовать для сессий куки и не придумывать. а учитывая что куки самое защищенное хранилище при должном подходе то вообще непонятно для чего все остальное

Я в данный момент делаю апи для мобильного приложения. В JWT держу айди пользователя и массив его ролей. Благодаря этому мне не нужно обращаться к базе при каждом запросе, чтобы узнать, может ли юзер выполнить то, или иное действие. Кроме того, мобильникам не нужно парсить/собирать куки у себя. В реактовой админке тоже будет аутентификация с JWT, что позволит апишку повесить на домене api.*.

Я в данный момент делаю апи для мобильного приложения. В JWT держу айди пользователя и массив его ролей. Благодаря этому мне не нужно обращаться к базе при каждом запросе, чтобы узнать, может ли юзер выполнить то, или иное действие. Кроме того, мобильникам не нужно парсить/собирать куки у себя. В реактовой админке тоже будет аутентификация с JWT, что позволит апишку повесить на домене api.*.

можно без JWT шифровать данные и расшифровывать их потом на стороне сервера

Я в данный момент делаю апи для мобильного приложения. В JWT держу айди пользователя и массив его ролей. Благодаря этому мне не нужно обращаться к базе при каждом запросе, чтобы узнать, может ли юзер выполнить то, или иное действие. Кроме того, мобильникам не нужно парсить/собирать куки у себя. В реактовой админке тоже будет аутентификация с JWT, что позволит апишку повесить на домене api.*.

При этом нельзя будет эти данные получить из токена напрямую

Кстати, вопрос возникает при этом Можно ли по зашифрованной строке узнать, каким шифром она была сгенерирована?

В JWT же, вроде, явно указывается тип шифра

Ну само знание алгоритма мало что дает. Вот HTTPS тоже сообщает, какой алгоритм используется.

Да и в простом случае в JWT не шифр, а хеш

Ознакомился с таблицей, которую @ChALkeR скинул. Теперь меня смущает возможноть любого скрипта увидеть токен, лежащий в локальном хранилище :)

Ты ещё вспомни видеожс.

Не решается ли часть проблем с JWT, если для веб-клиентов держать токен в куке?

Не решается ли часть проблем с JWT, если для веб-клиентов держать токен в куке?

имхо, лучше написать свое решение, чем использовать JWT

Может, на ноде уже реализовано что-то свое

Канэш, надо всегда все делать своё. Нафиг стандарты и известные решения

Всем привет есть ли готовый модуль для управления форматом вывода ресурсов для каждой модели ? Чтобы можно было регулировать какие поля показывать а какие нет по дефолту.

фреймворк express

Нужен аналог типа fields из yii2

тебе нужно просто убрать некоторые поля из выдачи типа?

Канэш, надо всегда все делать своё. Нафиг стандарты и известные решения

Что можешь предложить лучше JWT?

Что можешь предложить лучше JWT?

srp 6 ?

Что можешь предложить лучше JWT?

сейчас начнётся про Bearer

сейчас начнётся про Bearer

srp 6 ?

srp 6 ?

ладно, не начнётся :)

ахаха

srp 6 ?

Отлично, есть что почитать

Пишу как раз модуль. Вернее взял srp 6 от мозилы и пытаюсь ее совместить с jwt. Если смогу подтвердить свою гипотезу, то будет модуль.

Что можешь предложить лучше JWT?

чем тебя ЖВТ не устраивает? Отличная же штука!

чем тебя ЖВТ не устраивает? Отличная же штука!

нормальная библиотека, не спорю

чем тебя ЖВТ не устраивает? Отличная же штука!

Тем, что данные может прочесть кто угодно

Тем, что данные может прочесть кто угодно

какие данные??? хэш?

какие данные??? хэш?

JWT токен в открытом виде хранит данные внутри него Они не зашифрованы

ERROR: S client not available

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

я не уверен, что не зашифровано :)

какие данные??? хэш?

Народ не вдупляет разницу между авторизацией, аутентификацией и то что данные с этим связаны конечно, но хотят чтобы и сессия была закрыта. + О теоретической возможности посредничества не думают. Вот и получаются что либы гавно)))

{ "sub": "1234567890", "name": "John Doe", "admin": true }

{ "sub": "1234567890", "name": "John Doe", "admin": true }

и что тебя смущает?

и что тебя смущает?

Потенциальной возможностью бездумно добавить туда что-то лишнее

Потенциальной возможностью бездумно добавить туда что-то лишнее

добавь соль и поменяй алгоритм шифрования, почитай ман к либе

Потенциальной возможностью бездумно добавить туда что-то лишнее

Ты канечно не принимай на свой счет, но ты понимаешь что такое токен, когда и как он создаётся и что вообще должен в себе хранить?

Ты канечно не принимай на свой счет, но ты понимаешь что такое токен, когда и как он создаётся и что вообще должен в себе хранить?

Я не о себе говорю

Потенциальной возможностью бездумно добавить туда что-то лишнее

Если добавить что-то в токен, то он перестанет валидироваться

Для этого нужна третья часть токена

Если добавить что-то в токен, то он перестанет валидироваться

Спасибо, я знаю

А ниче, что самій распространённый случай, это геннерить ключ юиидом?

он гарантированно тебе сгенерит уникальный ключь

Прогер, который не знает, как хранит JWT данные (прим. в открытом виде), может передать на клиент закрытую инфу. Какую-хз. Как ее добыть- тоже не буду распространяться, это уже другой вопрос. Но как факт, кто-то может положить туда то, что не должно быть там

Это понятно. То же самое можно сказать о данных, которые возвращает любой API.

А ниче, что самій распространённый случай, это геннерить ключ юиидом?

Даже сервис для этого есть!

http://randomuuid.net/

Это понятно. То же самое можно сказать о данных, которые возвращает любой API.

Тем не менее

и политики можно написать нормальные

Можно добавить добавить и срок хранения ключа, и еще где-нибудь чем-нибудь обмазаться, но имхо- это равноценно дыре

Тем не менее

Как тем не менее? Ведь сам себе злой буратино, если положил в пейлод пароль)

ребят у меня такой вопрос

Есть еще такая штука как JWE

у меня сервер отдает 400 если протух токен, но потом дальше кидает на другой обработчик что выдает 500 всегда при последующих даже нормальных запросах

как избежать этого?

у меня сервер отдает 400 если протух токен, но потом дальше кидает на другой обработчик что выдает 500 всегда при последующих даже нормальных запросах

Мало контекста. Чей токен, что за сервер?

есть jwt

клиент юзает его

если он протух, сервер отдает 400 что-то типа того

сервер на express