ниже по дереву

ниже по дереву

Да, пока сам Pure не пнешь, ниже будет старое. Где тут открытие?

Он, вроде, с той целью и сделан в реакте

ты мне сейчас что объясняешь, я не очень понимаю

то что я и так знаю?

спасибо, но я знаком с работой реакта

ты мне сейчас что объясняешь, я не очень понимаю

Мы начали где-то с scu, потом перешли на Pure. Scu можно заснуть куда угодно. Вопрос концепта. Что-то, видимо, я пропустил

народ, а хранить jwt токены в redux store это феншуй или преступление?

народ, а хранить jwt токены в redux store это феншуй или преступление?

Это не преступление конечно. Но и непонятно зачем они там

народ, а хранить jwt токены в redux store это феншуй или преступление?

Жвт юзать как аутентификацию нет смысла

Жвт юзать как аутентификацию нет смысла

а что сессии?

В сторе хранить тоже смысла нет. Ибо будут удалены после перезагрузки

Жвт юзать как аутентификацию нет смысла

Почему?

а что сессии?

Да. Session-like это лучшее

Да. Session-like это лучшее

если не затруднит, можно пару аргументов за?

спасибо

Это же тот ниасилятор монгодб, лол

Я даже НЕ УДИВЛЁН внезапно

Сразу вижу идиотский довод про localStorage. Во первых есть indexed db, во вторых csp

Сразу вижу идиотский довод про localStorage. Во первых есть indexed db, во вторых csp

Чувак с монгодб докой совладать не смог даже, не жди от него многого, лол

Это же тот ниасилятор монгодб, лол

Причем здесь монга? Учитывая что она говно для большинства кейсов. Расскажи зачем юзать жвт для сессий и зачем. Если такой пиздлявый

Про рефреш токен тоже бред. Можно делать принудительный revoke при получении нового

Сразу вижу идиотский довод про localStorage. Во первых есть indexed db, во вторых csp

Разумеется если ты не читаешь все что написано мелким шрифтом вначале...

Короче. Тухлый наброс на jwt

Про рефреш токен тоже бред. Можно делать принудительный revoke при получении нового

Какой смысл юзать жвт??

Просто лишняя нагрузка на проверку подписи

Короче. Тухлый наброс на jwt

Какой ты серьёзный

Не даёт ровно ничего

Даже слишком

С микросервисами всё ещё хуже

Какой ты серьёзный

Возможно ?

спасибо, интересно. Я сразу, пользуясь моментом так сказать, спрошу: Не кинете ссылкой, как дружить реакт с нодой при построении продакшн билда, при учете что они общаются сокетами?

Весёлые дыры: 2015: кто-то прочитал спеку и внезапно заметил что токены, в которых стоит "alg": "none" валидны всегда, а ограничений в либах никто не предусмотрел, и народ просто проверял JWT на валидность. https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/ 2017 (начало года): Атака на извлечение приватного ключа с сервера, по протоколу. https://blogs.adobe.com/security/2017/03/critical-vulnerability-uncovered-in-json-encryption.html 2017 (конец года): кто-то прочитал спеку ещё раз и заметил, что «самоподписанные» токены, которые включают в себя свой ключ, валидны всегда. А народ всё ещё тупо проверяет JWT на валидность. Это затронуло, например, node-jose. Исправили со сломом совместимости. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0114

C JWT много чего не так, и небезопасное хранение его — только одна из проблем.

JWT это заоверенжинеренное говно, в котором до сих пор находят эпичные баги фактически на уровне спецификации.

Народ, кто юзает JWT — вы вообще в курсе, что он по спеке при проверке токена (то есть до подверждения его валидности) ходит по урлам, указанным в этом токене?

С вашего сервера.

От этого пока всё вокруг не сгорело скорее всего потому, что в либах JWТ эту часть пока не реализовали (JWT ­— заоверенжинерен, с реализациями плохо всё).

Но это не значит что эта чудесная фича вам однажды не прилетит с обновлениями зависимостей.

А в ссылке выше (на joepie91) объясняется, почему это ещё и ненужное говно.

Извините, я опять стриггерилсяя на слово jwt.

Основная часть JWT — это вот эта пачка спек: https://tools.ietf.org/html/rfc7519 https://tools.ietf.org/html/rfc7515 https://tools.ietf.org/html/rfc7516 https://tools.ietf.org/html/rfc7515#section-4.1.5 — вот тут про хождение по урлам в процессе валидации, например. Там оно в нескольких местах, емнип.

Причем здесь монга? Учитывая что она говно для большинства кейсов. Расскажи зачем юзать жвт для сессий и зачем. Если такой пиздлявый

Чувак, полегче, я просто сказал что автор немного поехавший, чё ты такой агрессивный

Я и сам JWT не юзаю на текущем проекте

спасибо, интересно. Я сразу, пользуясь моментом так сказать, спрошу: Не кинете ссылкой, как дружить реакт с нодой при построении продакшн билда, при учете что они общаются сокетами?

Не имею таких ссылок. Там вообще-то и не надо дружить ничего. Реакт отдельно. Нода отдельно

Не имею таких ссылок. Там вообще-то и не надо дружить ничего. Реакт отдельно. Нода отдельно

мне это нужно на хероку закинуть, и вот я думаю как они друг друга надут?

Чувак, полегче, я просто сказал что автор немного поехавший, чё ты такой агрессивный

Ты сам начал с неуместного наезда. Мне лично плевать на автора. Пишет разумные вещи. Разумеется это можно обойти и сделать более высокий уровень защиты. Но это все не имеет практического смысла

Да. Session-like это лучшее

Что это? Можешь развернуть мысль?

мне это нужно на хероку закинуть, и вот я думаю как они друг друга надут?

Настраиваешь чтобы статика отдавалась. Апишка через /аpi А сокеты через ws

Ты сам начал с неуместного наезда. Мне лично плевать на автора. Пишет разумные вещи. Разумеется это можно обойти и сделать более высокий уровень защиты. Но это все не имеет практического смысла

Да я же не на тебя наехал, камон. Всё, проехали ?

Что это? Можешь развернуть мысль?

1. Генерируем токен 2. Кладём в базу 3. Отдаем юзеру (Делаем магию с refresh-токеном) Когда юзер приходит просто проверяем наличие токена и его срок. Ну и дальше авторизация

А, ты об этом...

Настраиваешь чтобы статика отдавалась. Апишка через /аpi А сокеты через ws

спс

Весёлые дыры: 2015: кто-то прочитал спеку и внезапно заметил что токены, в которых стоит "alg": "none" валидны всегда, а ограничений в либах никто не предусмотрел, и народ просто проверял JWT на валидность. https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/ 2017 (начало года): Атака на извлечение приватного ключа с сервера, по протоколу. https://blogs.adobe.com/security/2017/03/critical-vulnerability-uncovered-in-json-encryption.html 2017 (конец года): кто-то прочитал спеку ещё раз и заметил, что «самоподписанные» токены, которые включают в себя свой ключ, валидны всегда. А народ всё ещё тупо проверяет JWT на валидность. Это затронуло, например, node-jose. Исправили со сломом совместимости. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0114

Спасибо. Задумался.

ERROR: S client not available

https://t.me/why_jwt_is_bad

https://t.me/why_jwt_is_bad

Может, сразу сделать канал со всем плохим софтом?

Много чести для jwt

Да там их и так много))

Может, сразу сделать канал со всем плохим софтом?

https://t.me/why_something_is_bad

Чо тут?

Уже неактуально, в ts3 пофиксили

https://t.me/why_something_is_bad

https://t.me/why_react_is_bad D

Уже неактуально, в ts3 пофиксили

Он не вышел ещё же

Он не вышел ещё же

Сегодня релизнули, гуляем

Сегодня релизнули, гуляем

Оо

Сегодня релизнули, гуляем

Дай ссылку на релиз плиз

Дай ссылку на релиз плиз

https://blogs.msdn.microsoft.com/typescript/2018/07/30/announcing-typescript-3-0/

@gromver обдумывай свои реплики перед тем как отправлять или пойдешь в ридонли

!ро флуд

Дай ссылку на релиз плиз

Ребят, этот неадекват меня забанил в нод чатике перманентн

Ни за что

Ребят, этот неадекват меня забанил в нод чатике перманентн

Я тебя ща и здесь забаню, и в жаваскрипте

?блэть

Ну го хотя бы перманент снимите. Вроде правил не нарушал.

Да, пока сам Pure не пнешь, ниже будет старое. Где тут открытие?

Так писали же что в новом контексте Pure уважает обновление детей

Короче. Тухлый наброс на jwt

Тухлый наброс лол Для jwt, как и для монго, нужны причины применять их Низкий порог вхождения технологии не говорит о том, что она должна тот час же быть использована

есть ли смысл смотреть курс по реакту за 2016 год?(от codedojo)

Я думаю его можно смотреть всегда

Мне нравится как объясняет автор, но многие жалуются(без конкретики) на неактуальность курса.