jwt норм для своих целей, а чего тебе нужно?

Нет

Не норм

jwt норм для своих целей, а чего тебе нужно?

так авторизация да в токене чутка че нить хранить)

Забудте про JWT

если у тебя stateless server многонодовый кластер, то jwt хорош

У него априори в стандарте дырки безопасности

и варик какой?( по старинке?)

У него априори в стандарте дырки безопасности

дырки априори везде есть

предположим на бэке не нода вообще...простая апишка на пыхе

все зависит от требований к безопасности системы

предположим на бэке не нода вообще...простая апишка на пыхе

ну в этом случае точно jwt не нужен

простые сессии, куки все дела и обычный токен в них

Весёлые дыры: 2015: кто-то прочитал спеку и внезапно заметил что токены, в которых стоит "alg": "none" валидны всегда, а ограничений в либах никто не предусмотрел, и народ просто проверял JWT на валидность. https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/ 2017 (начало года): Атака на извлечение приватного ключа с сервера, по протоколу. https://blogs.adobe.com/security/2017/03/critical-vulnerability-uncovered-in-json-encryption.html 2017 (конец года): кто-то прочитал спеку ещё раз и заметил, что «самоподписанные» токены, которые включают в себя свой ключ, валидны всегда. А народ всё ещё тупо проверяет JWT на валидность. Это затронуло, например, node-jose. Исправили со сломом совместимости. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0114

C JWT много чего не так, и небезопасное хранение его — только одна из проблем.

JWT это заоверенжинеренное говно, в котором до сих пор находят эпичные баги фактически на уровне спецификации.

Народ, кто юзает JWT — вы вообще в курсе, что он по спеке при проверке токена (то есть до подверждения его валидности) ходит по урлам, указанным в этом токене?

С вашего сервера.

От этого пока всё вокруг не сгорело скорее всего потому, что в либах JWТ эту часть пока не реализовали (JWT ­— заоверенжинерен, с реализациями плохо всё).

Но это не значит что эта чудесная фича вам однажды не прилетит с обновлениями зависимостей.

Основная часть JWT — это вот эта пачка спек: https://tools.ietf.org/html/rfc7519 https://tools.ietf.org/html/rfc7515 https://tools.ietf.org/html/rfc7516 https://tools.ietf.org/html/rfc7515#section-4.1.5 — вот тут про хождение по урлам в процессе валидации, например. Там оно в нескольких местах, емнип.

дырки априори везде есть

Не надо так

какая то чухня если честно

Аргумент

jwt это всего лишь зашифрованная приватным ключем инфа + публичный ключ для расшифровки

чтобы ты на фронте мог его открыть и прочитать

но не мог сгенерить аналогичный самостоятельно

Вот именно не всего-лишь, это целый колапс спеки

Либо у тебя не JWT, но тогда и не нужно это так называть

кто куда лазает там? че они пишут вообще?

едрить впадлу на бэке роуты копировать((( чтобы своевременно 401 отдать и отослать на авторизацию...кто как делает? каждый раз на сервер ходите для проверки?...казалось бы бэком можно отдать сразу 401 и все проблемы решены...но как написал плодить роуты не охото(

Кароче, JWT - это очень плохо. СТатей в интернете ТОННА

Не норм

Норм

Я пошел...

Норм

КАМОН. Ты то как?

Кароче, JWT - это очень плохо. СТатей в интернете ТОННА

ты читаешь каких то бакланов обдолбавшихся таблеток

КАМОН. Ты то как?

Жвт как контейнер общения между серверами отличная штука

ты читаешь каких то бакланов обдолбавшихся таблеток

Ментейнер node.js...

Или как способ жить без auth сервера тоже Но очень много камней

Жвт как контейнер общения между серверами отличная штука

И прям по спеке все?

И прям по спеке все?

Ну да.

Оверхед небольшой

Только написать хотел

Первое слово

Только написать хотел

Тестили с ним и со своей системой тикетов. Жвт оказался надёжнее

быстро инвайтите

Может быть. МОЖЕТ БЫТЬ. Если ты четко понимаешь, почему выбираешь JWT - используй, конечно. Всему свое место. Но когда люди спрашивают "то или другое", jwt точно не стоит советовать

Может быть. МОЖЕТ БЫТЬ. Если ты четко понимаешь, почему выбираешь JWT - используй, конечно. Всему свое место. Но когда люди спрашивают "то или другое", jwt точно не стоит советовать

Полностью согласен

Пихать жвт во все дыры... Такое

Поздравляю!! Ты 5К человек

Классно

Уже устал по стаковерфлоувам копаться, захотелось в чатик :)

жоска

Уже устал по стаковерфлоувам копаться, захотелось в чатик :)

потом будет - уже устал по чатикам ходить, захотелось на митап

потом будет - уже устал по чатикам ходить, захотелось на митап

Хаха

Подскажите пожалуйста. Есть now, у него теперь есть возможность, во время Пул реквеста, когда пушим, обновлять и деплоить (после пуша). Так вот. Если у меня есть env файл, в котором ключ, например, и соответственно он успешно в гитигноре. Значит, в Пр он не сможет вытянуть из env наш кей. Как now "подсказать" что и как тянуть из файла, хоть он и в гитигноре, это возможно? Или просто в консоле все время деплоить при нужде в такой ситуации?

ты читаешь каких то бакланов обдолбавшихся таблеток

теперь понятно почему ты за саги топишь

ERROR: S client not available

Подскажите пожалуйста. Есть now, у него теперь есть возможность, во время Пул реквеста, когда пушим, обновлять и деплоить (после пуша). Так вот. Если у меня есть env файл, в котором ключ, например, и соответственно он успешно в гитигноре. Значит, в Пр он не сможет вытянуть из env наш кей. Как now "подсказать" что и как тянуть из файла, хоть он и в гитигноре, это возможно? Или просто в консоле все время деплоить при нужде в такой ситуации?

Я хероку использую, там конфиг можно хоть в терминале, хоть на сатйе редактировать

В now не понравился интерфейс, админка на сайте, что-то там все очень не очень

Подскажите пожалуйста. Есть now, у него теперь есть возможность, во время Пул реквеста, когда пушим, обновлять и деплоить (после пуша). Так вот. Если у меня есть env файл, в котором ключ, например, и соответственно он успешно в гитигноре. Значит, в Пр он не сможет вытянуть из env наш кей. Как now "подсказать" что и как тянуть из файла, хоть он и в гитигноре, это возможно? Или просто в консоле все время деплоить при нужде в такой ситуации?

купи подписку и юзай приватный деплой (да и приватное репо надо на гите)

да у меня вроде есть подписон

там разве как - то можно в приватном сделать?

тогда можно заливать енвы

а можешь уточнить как именно?

а можешь уточнить как именно?

из игнора убрать

мля

Подскажите пожалуйста, возможно ли как то отменить отправленный запрос на сервер. Я использую axios?

это к чему?

это к чему?

К тому что можно приспособить плагин sc для подсветки синтаксиса к jss (i.e. material-ui)

К тому что можно приспособить плагин sc для подсветки синтаксиса к jss (i.e. material-ui)

легче sc к mui приспособить

Кароче есть вопрос как сделать так чтобы атрибут name был у нашего кастоного селекта =) это внутри него сделать инпут только?

jss без приставки styled вообще терпеть невозможно

а как в sc завезли объектную нотацию и jss стал ненужен

а как в sc завезли объектную нотацию и jss стал ненужен

Ага

jss без приставки styled вообще терпеть невозможно

+

SC крутая штука, мне нравится, но я попробовал к Material UI прикрутить - не очень, проще классы прокидывать, imho. Оборачивать каждый mui компонент через styled(Button)`` тоже не очень + с именованием проблемы

Возможно ли сделать переменную scss глобальной вместе с css modules ?

:global же

черным по-белому в доке

Не работает

пруфы?

Всем привет, можно ли расширить готовый компонент новыми методами

Если да то где почитать инфу

Это смесь styled и нативной поддержки стилей? :)