а для таких вещей , как айтемы корзины нормально использовать localStorage?

если айтемы будут простыми String

да

Как минимум с тем, что за данные передавать в токене. И что сервисы все будут валидировать токен на каждый запрос. Ходить за юзером. Ходить за его правами. Проверять его валидность. И наличие в черном списке или же проверять подпись после запроса пользователя, если реализована соль для каждого пользователя. Но все это и так реализовано в сессиях и много раз обкатано в проде. В жвт есть куча странных мест, а так же в реализациях библиотек. Использовать жвт тупо не имеет смысла, только если ты ТОЧНО знаешь зачем и какие дыры могут быть. Обычные сессионные токены дешевле, проще и безопаснее в подавляющем большинстве случаев.

Удивительно и не убедительно, как может один из самых популярных сервисов по авторизации и аунтефикации https://auth0.com , где безопасность в приоритете, создать не безопасную библиотеку jwt.io ?! ?

Удивительно и не убедительно, как может один из самых популярных сервисов по авторизации и аунтефикации https://auth0.com , где безопасность в приоритете, создать не безопасную библиотеку jwt.io ?! ?

t.me/why_jwt_is_bad почитай внимательно а потом подумай. ЧТО JWT ДЛЯ ПОДПИСИ а не аутентификации

Капец.

Удивительно и не убедительно, как может один из самых популярных сервисов по авторизации и аунтефикации https://auth0.com , где безопасность в приоритете, создать не безопасную библиотеку jwt.io ?! ?

ну и как бы, они не создали библиотеку. Они написали спецификацию. Это разные вещи как бэ. Да и battle-testing не прошло ещё

гугл подло выдает много результатов на любой запрос типа "why not <technology>" и why not localstorage не исключение но я так понял, что non-sensitive данные типа String, можно хранить в localStorage без проблем

гугл подло выдает много результатов на любой запрос типа "why not <technology>" и why not localstorage не исключение но я так понял, что non-sensitive данные типа String, можно хранить в localStorage без проблем

localStorage может быть прочитан ЛЮБЫМ скриптом на странице. Если подключил react/any-script с CDN сходу получай дырку

t.me/why_jwt_is_bad почитай внимательно а потом подумай. ЧТО JWT ДЛЯ ПОДПИСИ а не аутентификации

они по вашему они без дела сидели и не думали как решить возникшую проблему в безопаности? https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/

localStorage может быть прочитан ЛЮБЫМ скриптом на странице. Если подключил react/any-script с CDN сходу получай дырку

да, но айдишники товаров у конкретного юзера никому же не сдались. потенциально (и очень маловероятно) злоумышленник узнает только что используется монга для базы товаров. и получит соответствие некоторых товаров и их айдишников, если подставит к себе браузер полученые данные

они по вашему они без дела сидели и не думали как решить возникшую проблему в безопаности? https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/

ты просто выбрал первую попавшуюся статью из блога?

но и то (про монгу) и другое (про айдишники) некритично, по крайней мере я не вижу критичного сценария, вытекающего из этой инфы

да, но айдишники товаров у конкретного юзера никому же не сдались. потенциально (и очень маловероятно) злоумышленник узнает только что используется монга для базы товаров. и получит соответствие некоторых товаров и их айдишников, если подставит к себе браузер полученые данные

ну, sensitive инфу держать в localStorage опасненько

ты просто выбрал первую попавшуюся статью из блога?

https://medium.com/@cjainn/anatomy-of-a-jwt-token-part-2-c12888abc1a2

ну, sensitive инфу держать в localStorage опасненько

таким образом, я уперся в необходимость определения sensitive но методы для хранения persistent sensive data в случае с реализацией корзины будут явно перебором, судя по всему

ты просто выбрал первую попавшуюся статью из блога?

мне верить на слово каждому слову сказаному вами?

мне верить на слово каждому слову сказаному вами?

бля ( насколько же люди упертые, что упертость граничит с тупостью.

есть факты. неможешь додумать сам, послушай что пишут умные

t.me/why_jwt_is_bad

Пишу ещё раз: JWT НЕ ДЛЯ АУТЕНТИФИКАЦИИ

натянуть кота на глобус можно, только НАХУЯ?

О, а тут всё про jwt

кажется уже полдня прошло

Зачем JWT?

какой смысл оверинжинирить с жвт, когда есть инструменты спокойно решающие те же проблемы

я вообще не понимаю про что спорят)))

Зачем JWT?

t.me/react_js/468122

jwt наверное где-то хайп словил)))

использовать JWT вместо сессий плохо?

я вообще не понимаю про что спорят)))

я тоже. пришел @playra и начал втирать, что auth0 не могли сделать дырявую библиотеку (учитывая что jwt не библиотека) и вообще она безопасная. При том, что есть в самой спецификации ООООЧЕНЬ спорные моменты. Плюс пришлось саму спеку фиксить со сломом совестимости чтобы заркыть дыру. Что определенно значит, что в auth0 спокойно могли сделать дырявую спеку. От этого никто не застрахован. Опять же, jwt не для аутентификации придумывался. JWT не прошел проверки временем и всё ещё развивается. Юзать его у себя предварительно досконально не разобравшись в тонкостях — это прямо забить на уязвимости со словами "А похер, хипстеры же"

использовать JWT вместо сессий плохо?

да

какой смысл оверинжинирить с жвт, когда есть инструменты спокойно решающие те же проблемы

As you see from above, JWT if implemented incorrectly can have huge security implications for the security of your system and your authentication and authorization schemes can be easily hacked or manipulated to a hacker’s advantage. However, all is not lost and you can have a very secure implementation of JWT by using the techniques described in this paper. Как и везде, все от способностей зависит.

Подскажите, какую программу написать, чтобы ей потом можно было пользоваться, а не просто написал и забыл

туду лист напиши и пользуйся им, первым пунктом забей туда задачу - каждый день не забывать пользоваться туду листом :)

кто нибудь ssr делал?

?у меня дежа вю

кто нибудь ssr делал?

соцопрос проводишь?

As you see from above, JWT if implemented incorrectly can have huge security implications for the security of your system and your authentication and authorization schemes can be easily hacked or manipulated to a hacker’s advantage. However, all is not lost and you can have a very secure implementation of JWT by using the techniques described in this paper. Как и везде, все от способностей зависит.

Нафига тащить либу/спеку которая не дает НИЧЕГО, если есть дешевые аналоги прошедшие проверку временем?

А где вообще можно JWT? Для чего он нужен?

Нафига тащить либу/спеку которая не дает НИЧЕГО, если есть дешевые аналоги прошедшие проверку временем?

а какие аналоги, например ?

А где вообще можно JWT? Для чего он нужен?

там где надо обеспечить защиту от Man in the Middle (на изменение данных).

соцопрос проводишь?

интересуют кейсы кто как решал задачу формирования стора на сервере без всяких next.js

Можно примеры Я сам уже начинаю ненавидеть JWT, сложностей предостаточно

интересуют кейсы кто как решал задачу формирования стора на сервере без всяких next.js

? берешь и формируешь )

классические сессии ?

интересуют кейсы кто как решал задачу формирования стора на сервере без всяких next.js

самый простой вариант сделать ssr, это next

? берешь и формируешь )

урлов много, данные разные, componentDidMount не работает.

я тоже. пришел @playra и начал втирать, что auth0 не могли сделать дырявую библиотеку (учитывая что jwt не библиотека) и вообще она безопасная. При том, что есть в самой спецификации ООООЧЕНЬ спорные моменты. Плюс пришлось саму спеку фиксить со сломом совестимости чтобы заркыть дыру. Что определенно значит, что в auth0 спокойно могли сделать дырявую спеку. От этого никто не застрахован. Опять же, jwt не для аутентификации придумывался. JWT не прошел проверки временем и всё ещё развивается. Юзать его у себя предварительно досконально не разобравшись в тонкостях — это прямо забить на уязвимости со словами "А похер, хипстеры же"

Вроде как я разбираюсь в вопросе, задавая вопросы. ?

а какие аналоги, например ?

Любые сессионные токены с refresh token. Там. все проблемы известны и ясно как их решать. А если нужна распределенная система, то тут только изобретение своих client-server и server-server тикетов с шифрованием и подписью. И тут уже нужны безопасники, как и тащить ли jwt.

урлов много, данные разные, componentDidMount не работает.

CDM не вызывается при сервер-рендере

урлов много, данные разные, componentDidMount не работает.

componentDidMount ? работает вроде

самый простой вариант сделать ssr, это next

это самый нормальный, у меня глаза кровью обиливались от велосипедов для ssr)

componentDidMount ? работает вроде

Не на сервере же

getInitalProps на сервере ?

Вроде как я разбираюсь в вопросе, задавая вопросы. ?

выглядит так, будто вчера документацию открыл

getInitalProps на сервере ?

(или как-то так)

CDM не вызывается при сервер-рендере

я тебе и констатирую факты

кроме next.js какие нибудь кейсы кто применял?

подскажите, а чтение из localStorage имеет какие-то ограничения при большом количестве операций? если я хочу язык интерфейса сделать зависимым от переменной lang в localStorage и прописывать все тексты в компонентах на определенном языке в зависимости от тернарки

Любые сессионные токены с refresh token. Там. все проблемы известны и ясно как их решать. А если нужна распределенная система, то тут только изобретение своих client-server и server-server тикетов с шифрованием и подписью. И тут уже нужны безопасники, как и тащить ли jwt.

refresh token также использую в приложение с JWT, поэтому интересны ваши аргументы. Ну оступились коллеги, поправились. Годы уже прошли с того времени… Статья годная вышла с возможными проблемами и с тем как их решать.

refresh token также использую в приложение с JWT, поэтому интересны ваши аргументы. Ну оступились коллеги, поправились. Годы уже прошли с того времени… Статья годная вышла с возможными проблемами и с тем как их решать.

Так какой смысл юзать JWT в аутентификации. Он никакого профита не дает. Только замедляет запросы из-за валидаций и усложняет систему вцелом

при борльшом количестве компонентов, требующих перевода, количестве чтений из localStorage будет тоже большим (200-500)

сам процесс проверки JWT же тоже слишком тяжелый ?

подскажите, а чтение из localStorage имеет какие-то ограничения при большом количестве операций? если я хочу язык интерфейса сделать зависимым от переменной lang в localStorage и прописывать все тексты в компонентах на определенном языке в зависимости от тернарки

?не проще json какой-нибудь для переводов, ну или сразу i18n библиотеку

сам процесс проверки JWT же тоже слишком тяжелый ?

Он выполняется считанные мс

Он выполняется считанные мс

не правда) особенно если там закрытый/открытый ключ

Так какой смысл юзать JWT в аутентификации. Он никакого профита не дает. Только замедляет запросы из-за валидаций и усложняет систему вцелом

Много туториалов по теме JWT от ведущих видеоблогеров, вот и едем)

ERROR: S client not available

а еще многие ставят expiration на дней 30-90 ?

Ну в асп нет коре сотни запросов с jwt отрабатывают за несколько сек

Много туториалов по теме JWT от ведущих видеоблогеров, вот и едем)

то есть смысла абсолютно нет

Поэтому не думаю, что это критично

Ну в асп нет коре сотни запросов с jwt отрабатывают за несколько сек

ничего не доказывает

то есть смысла абсолютно нет

поэтому интересуюсь альтернативами

ASP вообще медленная херня

ничего не доказывает

это доказывает то, что он быстро разбирается )

поэтому интересуюсь альтернативами

?сессии, токен

а насчёт дыр хз, ибо не разбирался в теме

ASP вообще медленная херня

мвс 5 и ниже - да )

это доказывает то, что он быстро разбирается )

сотня запросов за несколько секунд это быстро? а пару тысяч запросов в секунду на одну ноду не хочешь? и вот добавляешь там jwt и сразу до тысячи опускаешься

сотня запросов за несколько секунд это быстро? а пару тысяч запросов в секунду на одну ноду не хочешь? и вот добавляешь там jwt и сразу до тысячи опускаешься

ну так под дебагом же, с кучей отладчиков и пр ерунды

это доказывает то, что он быстро разбирается )

?ну такое себе

ну так под дебагом же, с кучей отладчиков и пр ерунды

лол

даже если быстро разбирается... НАХРЕНА?

Пока 1-100 юзеров - норм:D

какой смысл в усложнении?

даже если быстро разбирается... НАХРЕНА?

ну это другой вопрос :))

какой смысл в усложнении?

?в туториалах так во всех пишут, вот и берут ну и npm i jwt blablabla

кроме next.js какие нибудь кейсы кто применял?

ты скажи, ты next пробовал уже? чем не устраивает это готовое решение, из коробки избавляющее от кучи грабель

?в туториалах так во всех пишут, вот и берут ну и npm i jwt blablabla

значит надо писать туториалы в которых большим текстом написано "Do not use JWT as authentication layer"

Ввести в гугле/ютубе node js auth example - будет jwt 99%

казалось бы, все написано в t.me/why_jwt_is_bad ?

?не проще json какой-нибудь для переводов, ну или сразу i18n библиотеку

я верно понимаю, что в случае в json всё это будет выглядеть так же, как и описал, только сами тексты на разных языках будут не в компонентах, а в json-файле, а в компонентах из этого файла просто подставляться?

Жаль, что ничего не написано в каналах про флоу, реакт и жс

?в туториалах так во всех пишут, вот и берут ну и npm i jwt blablabla

Рекомендовать сомнительную либу, в туториалах, не дальновидное занятие, а рекомендуют учителя с именем и стажем.

я верно понимаю, что в случае в json всё это будет выглядеть так же, как и описал, только сами тексты на разных языках будут не в компонентах, а в json-файле, а в компонентах из этого файла просто подставляться?

да.

Жаль, что ничего не написано в каналах про флоу, реакт и жс

t.me/why_react_is_bad

t.me/why_react_is_bad

Там ничего не написано

я верно понимаю, что в случае в json всё это будет выглядеть так же, как и описал, только сами тексты на разных языках будут не в компонентах, а в json-файле, а в компонентах из этого файла просто подставляться?

Ну типа того, да. https://github.com/yahoo/react-intl я имел опыт работы с этим вот, вроде норм Может товарищи что-нибудь еще подскажут

t.me/why_js_is_bad