to_sql

попробуй

Там же Int возвращается

Ты как делаешь? покажи код

User.select('max(id)')

но это убогонько

это понятно, и зачем ставить срок жизни?

Что бы твой токен не работал вечно

Ок, а зачем делать так что бы токен не работал вечно?

почему бы не сделать срок его жизни полгода например, после выбрасывать, не создавая доп refreshToken

почему бы не сделать срок его жизни полгода например, после выбрасывать, не создавая доп refreshToken

> ну люди у которых есть опыт и без обьяснение пойтмут...

Люди у которых есть опыт досихпор толком не знают зачем нужен refresh токен но делают как написано

он нужен для того что бы предвратить перехват но зачем? если все шифруется через ssl

Ок, а зачем делать так что бы токен не работал вечно?

Ну давай рассуждать. Ты приходишь в мак. Твой токен снифают. У злоумышленика jwt токен чужой, который работает бесконечно. Как думаешь, это ок?

а как его перехватили? подсел за чужой комп и открыл devtools и посмотрел?

он нужен для того что бы предвратить перехват но зачем? если все шифруется через ssl

Не всегда все шифруется, это раз. Два, твой jwt может юзаться не только для веба, три - ты можешь забыть выйти из приложения и токен останется (прямо тру стори, видел такое больше 10 раз)

Не всегда все шифруется, это раз. Два, твой jwt может юзаться не только для веба, три - ты можешь забыть выйти из приложения и токен останется (прямо тру стори, видел такое больше 10 раз)

ок, я сделал например время жизни токена 30 мин и ревреш токен 10 дней, вот я забыл выйти из прилы и ушел, подсел другой чувак, токен тухлый но он потом отправит рефреш токен и обновить все, тот же сценарий получается

ок, я сделал например время жизни токена 30 мин и ревреш токен 10 дней, вот я забыл выйти из прилы и ушел, подсел другой чувак, токен тухлый но он потом отправит рефреш токен и обновить все, тот же сценарий получается

И получит доступ максимум на 30 минут. Да и рефреш обычно одноразовый и если он прям сейчас его не применил, то вообще ничего не получит.

тут вот можно дополнить антона, что когда чувак к примеру спалит что кто-то получил доступ, владелец сможет изменить пароль и рефреш токен уже не получится, в случае с бесконечным токеном - доступ будет всегда

тут вот можно дополнить антона, что когда чувак к примеру спалит что кто-то получил доступ, владелец сможет изменить пароль и рефреш токен уже не получится, в случае с бесконечным токеном - доступ будет всегда

все так

ngrok?

у него вебморда есть, где примерно так же как и хттпбине будет

тут вот можно дополнить антона, что когда чувак к примеру спалит что кто-то получил доступ, владелец сможет изменить пароль и рефреш токен уже не получится, в случае с бесконечным токеном - доступ будет всегда

а как это более детально работает? токен нельзя отозвать?

В жвт нельзя

ну и жвт это просто про шифровку расшифровку, хуевертить с данными в нем можешь как хочешь

по дефолту решения которые есть(по крайней мере когда изучал) не предоставляли блэклисты

только если хранить какой-нибудь идентификатор токена на сервере. Чтобы потом например в блэк-лист добавлять конкретный токен. Но в этом случае весь смысл использования jwt теряется

только если хранить какой-нибудь идентификатор токена на сервере. Чтобы потом например в блэк-лист добавлять конкретный токен. Но в этом случае весь смысл использования jwt теряется

Блеклист хранить в блокчейне

только если хранить какой-нибудь идентификатор токена на сервере. Чтобы потом например в блэк-лист добавлять конкретный токен. Но в этом случае весь смысл использования jwt теряется

поэтому токены должны быть короткоживущими

тут в принципе и довольно неудобно контроллировать активные сессии пользователя если вход не с одного устройства

В жвт нельзя

почему нельзя?

ты сейчас хочешь сказать что можно или не знаешь почему нельзя?

ты сейчас хочешь сказать что можно или не знаешь почему нельзя?

я хочу сказать что можно

как?

как?

храня токен в редисе

и удаляя когда тебе угодно

не получится так

способ есть

почему лол?

но не такой =)

потому что jwt не сверяется с базой

он распаковывается или нет

вут

там есть ключ внутри

можно поменять ключ

jwt подразумевает отсутствие на стороне сервера какого либо идентификатора

это уже навороты дальше

jwt подразумевает отсутствие на стороне сервера какого либо идентификатора

это кто тебе сказал?

пажжи какой ключ?

ты если ключ сменишь, у тебя все jwt отвалятся для этого юзера

это подходит для total recall - например если сменился проль

но не подходит для "ревокни мне вот этот и вот тот"

все что вы пытаетесь представить как "невозможно" все равно решается через редис

Он имеет в виду генеришь ключ, складываешь его в жвт и потом проверяешь при следующих запросах

Собственно тут встаёт вопрос - нахуя тогда тебе жвт вообще

все что вы пытаетесь представить как "невозможно" все равно решается через редис

ну да, надо в редис класть токены, который ты хочешь заэкспайрить

но это не всем подходит

Там же в доке у тебя как раз пейлоад есть

Там юзер и тд

Если ты токен ещё вкорячиваешь зачем тебе жвт в принципе?

ERROR: S client not available

не ну не токен

а просто "версия" интом

юзер сменил пароль - накинул единичку в его версию и все его жвт сдохли

юзер сменил пароль - накинул единичку в его версию и все его жвт сдохли

ну по идее пейлоад можно подменить

дак он же подписан

И шифрован

ну шифрован не обязательно, если не секретный

но защищен от изменения

Вообще я когда думал как разрулить блэклисты

Дошел до того что надо хранить ид девайса с которого был вход и ид пользователя в пейлоаде, и поиск собственно по ним рулить, удаляя девайс(сессию) мы тем самым инвалидируем токен

да, так норм

ну это по сути одно и то же, что и записывать jwt в базу)

Можно в бд хранить токены жвт непосредственно, но тогда теряется смысл вообще этого токена

ну не одно и то же да

дада

просто в изначальном смысле жвт это возможность сказать да или нет без консультации чего бы то ни было вообще

если для того чтобы проверить валидность тебе надо кудато лезть - ты используешь jwt не так

Я сам раньше долго кричал что жвт гавно и проще и надёжнее с токенами в бд

кому нужен стрим по JWT

https://www.youtube.com/watch?v=u9hn3s2kUrg

от широко известного в узких кругах smpl

есть же книга про jwt крутая

есть же книга про jwt крутая

в студию

добавлю в список книг на чтение

я сёдня получил книженцию пресвятого егорушки бугаенко

?

можешь в интернете название загуглить

она бесплатная