Всем привет. Что можно почитать на тему аутентификации и авторизации пользователя в SPA приложении?

тебе точно посоветуют не читать про jwt

Это я уже понял))

А вот как тогда это делать непонятно пока

ну вроде hmac токен хранить в бд

@fes0r я прав?

ну вроде hmac токен хранить в бд

если ты hmac хранишь в базе то есть вопрос - нахера тебе hmac

отзыв токена?

Всем привет. Что можно почитать на тему аутентификации и авторизации пользователя в SPA приложении?

google -> Single page app authentication

отзыв токена?

ну я и говорю - нахера тебе hmac)

HMAC -> hash message authentication code

ладно, понял, хрень сморозил

https://security.stackexchange.com/questions/20129/how-and-when-do-i-use-hmac/20301?utm_medium=organic&utm_source=google_rich_qa&utm_campaign=google_rich_qa

потом ещё раз перечитаю антиjwt-для-сессий статью и эту тоже

Та норм jwt

не ну просто для простых кейсов просто bin2hex(openssl_random_pseudo_bytes(32))

Че вы начинаете )))

jwt+

ой все

)))

не, я сам JWT юзаю если что)

и даже без рефреш токенов)

не, я сам JWT юзаю если что)

0809)9)9)0)9)9(

и даже без рефреш токенов)

какжетак

А как же сессии на сервере?

какжетак

потому знаю что говорю - подавляющему большинство JWT нафиг не упал

А как же сессии на сервере?

Шта

потому знаю что говорю - подавляющему большинство JWT нафиг не упал

у тебя именно для onetime?

И куки

куки сессии

абесни зачем они тебе своими словами

у тебя именно для onetime?

нет у меня говнокод

Шта

http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/

не ну вот смари

у мня есть реальный кейс обсудить

https://scotch.io/bar-talk/why-jwts-suck-as-session-tokens

вот тут как-то проще описано

есть карочи юзер, назовем его мерчендайзер, он ходит по магазам расставляет товары. сегодня в одном магазине завтра в другом

http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/

Это в закладках висит и тоже когда спорим на работе - скидываю)) но потом иду дальше юзать jwt

в каждом магазе есть устройство-клиент апишки

Это в закладках висит и тоже когда спорим на работе - скидываю)) но потом иду дальше юзать jwt

да я так же)

при входе мерч указывает логин пароль и магаз в который он логинится

теперь вопрос - где хранить ид магаза

я пакую в jwt его, еще какие варианты?

rest, не забываем )

теперь вопрос - где хранить ид магаза

а как он указывает в какой магазин он входит?

rest, не забываем )

ну то есть http api/json rpc

ну клиент это аппка, еще не написаная но скоро напишу

выбирает из выпадающего списка пусть

я пакую в jwt его, еще какие варианты?

а нафига тебе ID магазина? что бы в урлы пхать?)

ну то есть http api/json rpc

нет именно рест

я пакую в jwt его, еще какие варианты?

Отдавай айди магаза при логине, вместе с токеном

Вай нот

а нафига тебе ID магазина? что бы в урлы пхать?)

какая разница. оповещения о новых заказах ему сыплются на устройство где он залогинен

нет именно рест

ой не начинай только... рест у него... с XML небось еще и гипермедиа и ниодной строчкой захардкоженной на клиенте

Типа token, refresh, user-id или что у тебя там

не будут же ему приходить заказы с левых магазинов где он был вчера

Отдавай айди магаза при логине, вместе с токеном

jwt подразумевает что это можно указать в payload

какая разница. оповещения о новых заказах ему сыплются на устройство где он залогинен

зачем клиенту вообще знать ID магазина? привязывай сессию в магазину и все

т.е. в токен пакуешь

зачем клиенту вообще знать ID магазина? привязывай сессию в магазину и все

откуда я узнаю магазин

т.е. в токен пакуешь

Какая разница где будет айди ?

Ну засунешь ты его в пейлоад и будет он в бэйс64

откуда я узнаю магазин

- сессия одна на магазин или в рамках сессии можно менять магазины? - есть ли идентификатор магазина в урле (хост, часть урла)

задача не так стоит

задача не так стоит

задача вообще не стоит, попробуй сформулировать тогда нормально

пришел новый заказ. надо оповестить на устройство мерчендайзера. как это делать не зная где щас залогинен юзер

пришел новый заказ. надо оповестить на устройство мерчендайзера. как это делать не зная где щас залогинен юзер

а зачем тебе что-то знать? создаешь руму /merchant/{userId} и пушишь туда нотификашку

пользователь сам подпишется на нее

если через какой-нибудь centrifugo будешь делать можно как раз таки через HMAC к приватному каналу авторизовывать

а че такая ненависть к жвт обесни

а че такая ненависть к жвт обесни

ненависть ко всему что бездумно юзают. Ну то есть не к конкретно JWT а к тем кто его юзают и советуют всем подряд. Ну и еще мне стыдно что я сам года два назад еще всем его рекламировал

а сейчас что рекламируешь

hmac? )

bin2hex(openssl_random_pseudo_bytes(32))

и че мне с этим делать потом

сессии что ли ради этого заводить