t.me/why_react_is_bad

Орнул

казалось бы, все написано в t.me/why_jwt_is_bad ?

так тут тоже все написано https://medium.com/@cjainn/anatomy-of-a-jwt-token-part-2-c12888abc1a2 вот и ищем всем чатиком истину ?

мб уже закрыть этот тред ?

так тут тоже все написано https://medium.com/@cjainn/anatomy-of-a-jwt-token-part-2-c12888abc1a2 вот и ищем всем чатиком истину ?

Ты не истину ищешь, ты флейм разжигашь

ты скажи, ты next пробовал уже? чем не устраивает это готовое решение, из коробки избавляющее от кучи грабель

пробовал. потому что текущий проект уже существует со своей кодовой базой, хайлоад и все такое. переписывать под nextjs это завязывать на а-ля фреймворк без возможности гибко владеть кодовой базой

так тут тоже все написано https://medium.com/@cjainn/anatomy-of-a-jwt-token-part-2-c12888abc1a2 вот и ищем всем чатиком истину ?

ага) каждый раз ору с этого.

толку нет, но все тащат)

As you see from above, JWT if implemented incorrectly can have huge security implications for the security of your system and your authentication and authorization schemes can be easily hacked or manipulated to a hacker’s advantage. ?

Ты не истину ищешь, ты флейм разжигашь

У меня в проде проект с jwt, так что не знаю не знаю. Переживаю)

У меня в проде проект с jwt, так что не знаю не знаю. Переживаю)

дай линк, сломаем

У меня в проде проект с jwt, так что не знаю не знаю. Переживаю)

Напиши, как уволят

пробовал. потому что текущий проект уже существует со своей кодовой базой, хайлоад и все такое. переписывать под nextjs это завязывать на а-ля фреймворк без возможности гибко владеть кодовой базой

?ну там роутер переписать и немного структуру, а так тот же реакт будет

Нафига тащить либу/спеку которая не дает НИЧЕГО, если есть дешевые аналоги прошедшие проверку временем?

jwt позволяет закодировать данные которые не будут меняться чтобы сэкономить запросы в базу данных. Например с сессиями мне нужно по токену лезть в базу чтобы вытащить айдишник юзера а с jwt я сразу получаю айдишник юзера

jwt позволяет закодировать данные которые не будут меняться чтобы сэкономить запросы в базу данных. Например с сессиями мне нужно по токену лезть в базу чтобы вытащить айдишник юзера а с jwt я сразу получаю айдишник юзера

Юзера как заблокировать? Как токен отозвать? Как решить проблему с упавшим сервером аутентификации(все валидны, все не валидны)?

дай линк, сломаем

в начале по всем рекомендациям в статье пройдусь, а потом была не была?

я один работаю с тем что выдаю бэк без лишних вопросов?)

казалось бы, все написано в t.me/why_jwt_is_bad ?

Чет вся суть только в двух сообщениях, остальное пустые выпердыши вида "jwt говно, какие еще нужны доказательства"

Лучше оставить там сообщения со смыслом а остальное выпилить, ибо ну пиздец

Юзера как заблокировать? Как токен отозвать? Как решить проблему с упавшим сервером аутентификации(все валидны, все не валидны)?

проверить токен вытащив юзера из базы данных

Юзера как заблокировать? Как токен отозвать? Как решить проблему с упавшим сервером аутентификации(все валидны, все не валидны)?

Токен можно хранить в таблице

Токен можно хранить в таблице

о какой таблице речь

проверить токен вытащив юзера из базы данных

Одно лишнее обращение в базу, стоит всех остальных костылей?

Токен можно хранить в таблице

?это вроде ломает всю концепцию jwt

В итоге сессия ?

о какой таблице речь

С отозванными токенами

Особенно клёво, если экономишь запросы к базе и делаешь ssr

С отозванными токенами

ват

С отозванными токенами

лол

Нет.

Особенно клёво, если экономишь запросы к базе и делаешь ssr

для сср придется хранить токен в куке. бинго, вы опять изобрели сессии

С отозванными токенами

как думаешь сколько токенов там будет через год?

Нет.

А как это сделать правильнее, что почитать? или испльзовать refs?

А как это сделать правильнее, что почитать? или испльзовать refs?

state использовать. А почитать доку. https://reactjs.org/docs/forms.html

как думаешь сколько токенов там будет через год?

Ну чистить же нужно )

А как это сделать правильнее, что почитать? или испльзовать refs?

на каждое поле вешать onChange, изменения писать в стейт далее просто отправлять объект

Ну чистить же нужно )

тогда он станет опять валидным?

Ну чистить же нужно )

лол

Ну чистить же нужно )

ну. +1 гемор (не удалить случайно ещё валидные) нахуя

бля, хранить jwt токен в таблице это, конечно, сверхразум

t.me/why_js_is_bad

Эт чей??

бля, хранить jwt токен в таблице это, конечно, сверхразум

Невалидный только

Одно лишнее обращение в базу, стоит всех остальных костылей?

ну юзера все равно нужно будет вытащить из базы чтобы проверить его права на выполнения каких-то операций то есть да, jwt всего лишь экономит один запрос в базу и (где нужно вытащить айдишник юзера по токену) и для не высоконагруженных приложений jwt использовать смысла нет

Невалидный только

А какая хуй разница, это ломает всю концепцию

С таким же успехом можно хранить валидные, и это в разы лучше, тк инвалидация - тупо удалил токен

ну юзера все равно нужно будет вытащить из базы чтобы проверить его права на выполнения каких-то операций то есть да, jwt всего лишь экономит один запрос в базу и (где нужно вытащить айдишник юзера по токену) и для не высоконагруженных приложений jwt использовать смысла нет

не экономит, надо сделать запрос в базу "убитых" токенов

я юзал JWT для аутентификации в одном из проектов. Так вот после длительного аудита с безопасниками, тормоза были дикие. Сложности в обработке всех случаев и вообще соль на каждого юзера. Пиздец ребятки

ну юзера все равно нужно будет вытащить из базы чтобы проверить его права на выполнения каких-то операций то есть да, jwt всего лишь экономит один запрос в базу и (где нужно вытащить айдишник юзера по токену) и для не высоконагруженных приложений jwt использовать смысла нет

?Чот сложно, не понимаю профит экономии этого 1 запроса.

ну юзера все равно нужно будет вытащить из базы чтобы проверить его права на выполнения каких-то операций то есть да, jwt всего лишь экономит один запрос в базу и (где нужно вытащить айдишник юзера по токену) и для не высоконагруженных приложений jwt использовать смысла нет

для высоконагруженных приложений, юзать jwt нет смысла. На валидациях открытого/закрытого ключа и дешифровке просядешь по полной

Сервер аутентификации на обычных токенах гораздо дешевле. ибо простой запрос в базу и всё

Да просто не нужно его совать везде, его придумали для конкретной задачи

не экономит, надо сделать запрос в базу "убитых" токенов

зачем отдельная таблица убитых токенов? достаточно проверить токен юзера которого мы вытащили из базы с присланным

зачем отдельная таблица убитых токенов? достаточно проверить токен юзера которого мы вытащили из базы с присланным

а ты не в курсе, что может быть много токенов? и много сессий, например с мобильника и десктопа. И какой смысл держать токен в базе? если можно положить рандомную длинную строку

зачем отдельная таблица убитых токенов? достаточно проверить токен юзера которого мы вытащили из базы с присланным

опять ломаешь концепцию жвт

зачем отдельная таблица убитых токенов? достаточно проверить токен юзера которого мы вытащили из базы с присланным

?а эта проверка и есть 1 запрос, не?

рекурсия ебаная получается, в токене юзер, в юзере токены опять

давайте не будем пиздеть о том, чего не понимаем, ок?

я не вижу ни одного человека, кто разбирался бы в безопасности

все несут хотя бы немного бреда

но жвт затащить надо

но жвт затащить надо

Модно молодёжно же что вы как не жсер

а ты не в курсе, что может быть много токенов? и много сессий, например с мобильника и десктопа. И какой смысл держать токен в базе? если можно положить рандомную длинную строку

а зачем нужны много токенов для одного и того же юзера? ок, я сам не до конца понимаю jwt, я просто рассматриваю его как способ верифицировать полученные от клиента данные без лишних запросов в базу данных

а зачем нужны много токенов для одного и того же юзера? ок, я сам не до конца понимаю jwt, я просто рассматриваю его как способ верифицировать полученные от клиента данные без лишних запросов в базу данных

открыть сессию на разных устройствах и в любой момент разлогиниться с утройства, нет?

а зачем нужны много токенов для одного и того же юзера? ок, я сам не до конца понимаю jwt, я просто рассматриваю его как способ верифицировать полученные от клиента данные без лишних запросов в базу данных

как верифицировать без лишних запросов в базу? НИКАК

из-за чего может быть трабла, что изменение localStorage я вижу только после рефреша страницы??

шото посмотрел я на то, как типизировать redux+redux-act, взгрустнул и подумал, может, лучше на контекстах все-таки...

я уже давно оставил идею типизировать жс. только боль

ERROR: S client not available

я не вижу ни одного человека, кто разбирался бы в безопасности

спрошу у Ильи Климова по вашей позиции, он активно за JWT топит https://www.youtube.com/watch?v=vQldMjSJ6-w&list=PLvTBThJr861y60LQrUGpJNPu3Nt2EeQsP

я уже давно оставил идею типизировать жс. только боль

Хуйня получается ?)

Хуйня получается ?)

просто нет ничего приспособленного. те же типы в rust являются полноценными участниками исполнения кода. а во флоу и тс приходится ставить костыли

как верифицировать без лишних запросов в базу? НИКАК

без лишних запросов я не имел ввиду что запросов в базу вообще не будет будет один запрос на получение юзера так как в любом случае используем мы jwt или нет зачастую нужно вытащить юзера и узнать его права на выполнение каких-то операций используя всякие RBAC или ABAC а раз уже вытащили юзера то можно проверить не протух ли токен который он нам прислал сравнив с тем что находится у юзера

на каждое поле вешать onChange, изменения писать в стейт далее просто отправлять объект

На каждый инпут свой onChange? или просто писать проверки?

я уже давно оставил идею типизировать жс. только боль

да, последние полгода я так тоже для себя решил а потом подумал, что неплохо бы иметь документацию по проекту, а ее можно сгенерировать каким-нибудь documentationjs, а там как вариант либо массивное описание через jsdoc, либо flow и я вернулся к идее с flow

спрошу у Ильи Климова по вашей позиции, он активно за JWT топит https://www.youtube.com/watch?v=vQldMjSJ6-w&list=PLvTBThJr861y60LQrUGpJNPu3Nt2EeQsP

не удивлюсь

На каждый инпут свой onChange? или просто писать проверки?

на каждый инпут

да, последние полгода я так тоже для себя решил а потом подумал, что неплохо бы иметь документацию по проекту, а ее можно сгенерировать каким-нибудь documentationjs, а там как вариант либо массивное описание через jsdoc, либо flow и я вернулся к идее с flow

и генерится документация убого, увы (особенно если сравнить с rust)

я пока жду reason ml

эх, я тоже раст люблю всей душой, но не напишешь же на расте фронт(

впрочем, I want to believe

я пока жду reason ml

все равно от интеропа с жс либами никуда не деться

все равно от интеропа с жс либами никуда не деться

ну да) но хоть страдать не особо придется

эх, я тоже раст люблю всей душой, но не напишешь же на расте фронт(

https://github.com/DenisKolodin/yew

я уже давно оставил идею типизировать жс. только боль

Статическая типизация наоборот помогает, лучше ориентироваться в в приложение если например тот же баг вылез , разве нет,? комфорт в угоду отладки приложения?)

Спасибо за spring, выглядит круто

можешь посмотреть пример тут https://codesandbox.io/s/github/DmitryGG/animated-ui

Статическая типизация наоборот помогает, лучше ориентироваться в в приложение если например тот же баг вылез , разве нет,? комфорт в угоду отладки приложения?)

я напишу гораздо быстрее и лучше код без типизации, чем с ней)

я напишу гораздо быстрее и лучше код без типизации, чем с ней)

Ну второе под вопросом. На счёт первого, ты конечно прав

Ну второе под вопросом. На счёт первого, ты конечно прав

второе от опыта зависит)

как опыт поможет провести статический анализ нетипизированого кода ?)

тоже не согласен)

как опыт поможет провести статический анализ нетипизированого кода ?)

Типизирует в мыслях ?

как опыт поможет провести статический анализ нетипизированого кода ?)

жс впринципе не типизирован. Я пишу код с учетом всех особенностей жс (в одно рыло конечно же я пишу лучше, чем в команде)

мозг так устроен, может держать не очень много фактов, это уже не от опыта зависит

Типизирует в мыслях ?

да )

но признаюсь. Я заебался писать на жс*

Типизирует в мыслях ?

mindscript

но признаюсь. Я заебался писать на жс*

сколько лет пишешь?

сколько лет пишешь?

7+

епт)

7+

Уже пора было бахнуть свой проект)))