есть кнопка

Нет))) не смотрел

инвестор появился, ёпта :)

Конград )

"прервать все сессии"

Нет))) не смотрел

посмотри, поймешь о чем речь )

да, я трудился, презенташку рисовал

Точно. Тогда можно рефреш токен долгосрочный удалить. А что делать с тем что не долгосрочны

Точно. Тогда можно рефреш токен долгосрочный удалить. А что делать с тем что не долгосрочны

удалить не равно сделать невалидным )

удалить не равно сделать невалидным )

Ага. Тогда надо что то сохранять в токене и обнулять это что-то

Кажется jti для этого

нет

Тогда как делать невалидным. Про это в видео?

Тогда как делать невалидным. Про это в видео?

Оно 10 минут

Не 3 часа

)))

Не имеет значения

Если юзер сознательно обнуляет

Речь об этом

У юзера два устройства

Телефон и комп

Телефон украли

Как с компа разлогинить телефон

На телеграме синк у всех глючит? (машина времени)

Как с компа разлогинить телефон

Хранить идентификатор в токене и обнулять его.

В каком токене

Если с телефона зайдёт со старым токене с левым идентификатором, то не пускать

немного поковырял мун. Если отсуствие фильтров я еще переживу, то вот без ref будет тяжелее. Но в целом, если надо заиплементить калькулятор на лэндосе, или что-то в этом роде, вполне себе годно. Этакий младшенький братец вуе для небольших поделок.

Если с телефона зайдёт со старым токене с левым идентификатором, то не пускать

И это ничем не лучше сессий

И это ничем не лучше сессий

Тогда какой рецепт

Нам все равно хранилище придётся дергать

в общем и целом что-то дергать всегда придется

Ага я понял. Нам так придется на каждый запрос дергать

А не только тогда когда рефреш.

Ок, тогда как быть?

Не юзать jwt

Отлично. В видео про это тоже есть?)))

В видео есть про схему :)

И все

А можно ещё вот так сделать. Тот идентификатор не проверять, пока от юзера не будет запроса на логаут!

Хахаха

И все

Решено

Юзайте)))

?

Ну сохранять идентификатор как я говорил. Но не проверять его каждый запрос, а только тогда когда юзер нажмёт этот самый логаут. После этого расшифровывать пейлоал с других устройств и не пускать

Это никак не поможет

Как это не поможет. Ещё как поможет. Какие доводы что не поможет? Приходит токен, смотрим содержимое, содержимое левое, не пускаем

Как это не поможет. Ещё как поможет. Какие доводы что не поможет? Приходит токен, смотрим содержимое, содержимое левое, не пускаем

Нарисуй схему

Мы то этот идентификатор меняем когда юзер нажимает логаут

да

приходит старый токен - нам все равно надо сделать запрос в хранилище сделать

чтобы знать что токен "старый"

Да. Ну так ничего, это ж уже опасные запросы будут

Пока юзер опять не даст свои данные, те пароль

приходит новый токен - нам все равно надо запрос в хранилище делать

После этого запросов не будет за идентификатором, пока он опять не запросит логаут

а раз делаем запрос в хранилище - это ничем не лучше сессий

приходит новый токен - нам все равно надо запрос в хранилище делать

Откуда новый токен придет?

от пользователя

Так мы говорим о логауте второго устройства, там старый токен

еще раз: как только у нас в сценарии - нам прислали токен - нам надо куда-то постучаться - этот сценарий ничем не лучше сессий

Со старым идентификатопом

Ок. Надо видео посмотреть, может всё проще

Тыж ае дижитал - с этого надо начинать )))

Не ищу лёгких путей)))

Не ищу лёгких путей)))

Личку чекни

ERROR: S client not available

стойте... вы токенами как ключами сессий пользуетесь? но это-ж как-бэ неправильно?!

не как ключами сессий )

вы хотите нам рассказать что токены - это и есть по сути сессия, которая несет в себе все нужные данные?

;)

вы хотите нам рассказать что токены - это и есть по сути сессия, которая несет в себе все нужные данные?

можно конечно и так, но обычно так никогда не делал

ок, что вы хотели сказать?

Файт

Токены для сессий моветон

я краем глаза быстро перелестал сообщения... токены же нам позволяют легче масштабировать по горизонтали, поскольку всё что нам нужно для того чтоб убедиться в верности токена это приватный ключ... плюс можно сразу UserId в нём хранить and this scales very well.. но проверка при каждом запросе некого центрального storage'а отозванным токенов как бы противоречит этому..

но... если например некий cache на каждом сервере хранить то должно шустро работать... т.е. не в центральном месте отозванные токены хранить, а просто при отозвании синкать на все серваки

Комменты на Ютубе зачет

Ты - ужасный фантазер )))

я краем глаза быстро перелестал сообщения... токены же нам позволяют легче масштабировать по горизонтали, поскольку всё что нам нужно для того чтоб убедиться в верности токена это приватный ключ... плюс можно сразу UserId в нём хранить and this scales very well.. но проверка при каждом запросе некого центрального storage'а отозванным токенов как бы противоречит этому..

Кто тут предлагает проверять при каждом запросе?

Кто тут предлагает проверять при каждом запросе?

ну когда токен перехватили мы хотим его "отозвать", типа этот токен не принимать

и хранить его надо пока в нём поле expired не устареет

ибо после можно уже спокойно удалять, система и так его не возьмёт

А как ты отзывать предлагаешь?

но это-ж тогда каждый при каждом запросе нужно стор отозванных пероверять

похоже люди не понимают простую идею: любой централизованный запрос равносилен запросу за сессией

А кто тут про блеклист говорил???

а поверьте - сессии с key-value storage работают тоже мегабыстро :)

А как ты отзывать предлагаешь?

я лишь один коментарий добавил: нужно не центральный стор дёргать, а лучше на каждый сервер синкать, ибо так horizontal scalability не нарушается

Это твой коммент под видео?

)))

Не надо ничего синкать это против сути токенов

Не надо ничего синкать это против сути токенов

если ты хочешь токен "отозвать", то увы... никак иначе..

При чем тут синк

иначе если токен перехватят то пока expired поле не устареет - серверы его будут принимать

Если делать запрос за юзером на каждый чих, дело только в лишнем запросе и задержке на него?

иначе если токен перехватят то пока expired поле не устареет - серверы его будут принимать

Хм... Тут я задумался

Хм... Тут я задумался

это на самом деле преимущество сессий, их можно отозвать одним кликом мол "Logout from device". Токены такое по сути тоже могут, но не по умолчанию

Или "раз делаешь запрос то лучше бы сделал на сессиях как нормальные люди"?