дабы одни правила компенсировали негативные стороны других

было бы здорово, если бы вы взялись за перевод)

Чуваки, я возможно немного не в тему, но вы тут говорили что юзаете Jwt и в хвост, и в гриву. Скажите, а как ты отзываете токены и как рефрешите их?

нельзя stateless токены отзывать

придётся в каком-то хранилище их держать

Ага, и это уже совсем не стейтлесс

угу

самый классный кейз это когда тебе не нужно отзывать

например всегда токены на день

тогда можно всё нормально stateless сделать

да, время жизни должно быть достаточно коротким

тогда неудобство рефреша будет накалять

если слишком коротким

достаточно, но не слишком

)

а как вы хендлите рефреш? застравляете клиента ходить на отдельный эндпоинт?

а как вы хендлите рефреш? застравляете клиента ходить на отдельный эндпоинт?

я именно так это представляю

можно отлавливать not authorized :)

вот он запросиль /entity/{id}

сервер сказал

not authorized

а ты ему, вот тебе ответ и новый токен в хедере?

ты это словаил

ну это не рефреш как бы

и сделал запрос на login

чем словить?

это просто логин

ой

да

думаю можно по времени заставлять рефрешить

стейтфул токен рефреш

юзается редко

для получения нового стейтлес

я конечно могу сидеть такой важный на бекенде и говорить, ну перелогинься, тебе что сложно?

не

можно например если меньше часа осталось, пусть сделает refresh

новый токен по старому, без логина

так если и больше прошло

рефреш он долгий

пошел получил новый стейтлес

вообще, зачем вам jwt?

мода)

он чаще не нужен, чем нужен

норм формат

ну не особо, если есть куча независимых сервисов, которые не хотели бы ходить всегда в одно центральное место

тогда норм

а так

нафига он?

ну, могу и без jwt

было интересно потыкать

токены просто генерить норм

подсказать генератор рандомных строк?)

ну не особо, если есть куча независимых сервисов, которые не хотели бы ходить всегда в одно центральное место

при чём тут jwt

мне всего лишь нужно выдать токены для аликух на ios и android

при чём тут jwt

сервис из токена получает нужную инфу

в том числе о его валидности

и не идет к сервису авторизации

а делает свои дела

да, особенно удобно, если не монолит

в остальных случаях чет особо-то смысла и нет

хотя хз, может кто вариантов накинет

ну он мне нравться больше чем генерить токен и класть его в базу

ложи в редис

быдымс

:)

ну, редис тож так себе

а редис не база?

ERROR: S client not available

да я шучу

лучше во что-то более надежное

все такие серьёзные)

база надёжная

кстати, вы делали логины через соц. сети?

ну когда-то да

база надёжная

ну редис может быть нет

меня вот смущает иметь несколько вариантов юзера в моей бд

я не редис имелл вииду

норм ситуация для bounded contexts :)

один юзер и несколько его наборов кредов)

ну или как-то правильнее назвать это

вопрос то в том, у этих юзеров же нету пароля

и собственно, как провести его логин, когда токен заэкспарился

по рефрешу

ну или пусть заново через сеть заходит

чет не улавливаю проблемы

вот собственно процедура рефреша в jwt меня и интересует

подожди, а как бы он заходил, если бы у него был пароль?

вот истек токен

че дальше?

логинся заново :D

ты ответил на свой вопрос)

так не интересно

https://github.com/f3ath/translations/blob/master/law-of-demeter-dot-counting.md

я начал переводить. присоединяйтесь (желательно откуда-нибудь с середины)

завтра вечерком переведу кусок

пойду с конца

> вместо выброса NullReferenceException может просто "вместо исключения"?)

ну это ладно, потом

http://scottberkun.com/2007/asshole-driven-development/