CherryTea
вообще сама проблема украденных токенов кажется немного надуманной, если токен и крадут по вине юзера, они смогут делать это постоянно
Denis
Illya
совсем не надуманная
Denis
Надо 10 сек токен. Я уже говорил
Illya
вот допустим была у тебя 0-day уязвимость
Illya
токен увели
Illya
уязвимость закрыли
Illya
все, никакого "постоянно"
CherryTea
это другая полярность - очень редкая утечка. Настолько редкая что можно и всем юзерам рефрешнуть токен
Illya
на самом деле речь не только об утечках
Illya
задача: написать сценарий логаута пользователя )
CherryTea
а вот это уже интересней )
Anonymous
Что значит сценарий логаута?
Anonymous
переизобретаем веб итт
Illya
ну после логаута используемый токен должен быть невалиден
Illya
логично?
Stanislav
Illya клёвая вступительная анимашка. Спасибо за видео.
Illya
потихоньку облагораживаемся
Illya
инвестор появился, ёпта :)
Anonymous
А обнулить если юзер кликнет логаут? А если он кликнет в оффлайне?
Illya
речь идет о невалидности на сервере
Illya
в телеграме, фб, гмейле, где угодно
Illya
есть кнопка
Anonymous
Нет))) не смотрел
Illya
"прервать все сессии"
Illya
да, я трудился, презенташку рисовал
Anonymous
Точно. Тогда можно рефреш токен долгосрочный удалить. А что делать с тем что не долгосрочны
Illya
Illya
Точно. Тогда можно рефреш токен долгосрочный удалить. А что делать с тем что не долгосрочны
удалить не равно сделать невалидным )
Anonymous
удалить не равно сделать невалидным )
Ага. Тогда надо что то сохранять в токене и обнулять это что-то
Anonymous
Кажется jti для этого
Illya
нет
Anonymous
Тогда как делать невалидным. Про это в видео?
Denis
Не 3 часа
Denis
)))
Anonymous
Не имеет значения
Anonymous
Если юзер сознательно обнуляет
Anonymous
Речь об этом
Illya
У юзера два устройства
Illya
Телефон и комп
Illya
Телефон украли
Illya
Как с компа разлогинить телефон
Denis
На телеграме синк у всех глючит? (машина времени)
Illya
В каком токене
Anonymous
Если с телефона зайдёт со старым токене с левым идентификатором, то не пускать
CherryTea
немного поковырял мун. Если отсуствие фильтров я еще переживу, то вот без ref будет тяжелее. Но в целом, если надо заиплементить калькулятор на лэндосе, или что-то в этом роде, вполне себе годно. Этакий младшенький братец вуе для небольших поделок.
Illya
Если с телефона зайдёт со старым токене с левым идентификатором, то не пускать
И это ничем не лучше сессий
Illya
Нам все равно хранилище придётся дергать
CherryTea
в общем и целом что-то дергать всегда придется
Anonymous
Ага я понял. Нам так придется на каждый запрос дергать
Anonymous
А не только тогда когда рефреш.
Anonymous
Ок, тогда как быть?
Illya
Не юзать jwt
Anonymous
Отлично. В видео про это тоже есть?)))
Illya
В видео есть про схему :)
Illya
И все
Anonymous
А можно ещё вот так сделать. Тот идентификатор не проверять, пока от юзера не будет запроса на логаут!
Anonymous
Хахаха
Anonymous
И все
Anonymous
Решено
Anonymous
Юзайте)))
Illya
?
Anonymous
Ну сохранять идентификатор как я говорил. Но не проверять его каждый запрос, а только тогда когда юзер нажмёт этот самый логаут. После этого расшифровывать пейлоал с других устройств и не пускать
Illya
Это никак не поможет
Anonymous
Как это не поможет. Ещё как поможет. Какие доводы что не поможет? Приходит токен, смотрим содержимое, содержимое левое, не пускаем
Denis
Anonymous
Мы то этот идентификатор меняем когда юзер нажимает логаут
Illya
да
Illya
приходит старый токен - нам все равно надо сделать запрос в хранилище сделать
Illya
чтобы знать что токен "старый"
Anonymous
Да. Ну так ничего, это ж уже опасные запросы будут