а не тег

как менять тег я знаю

oh,

кстати, интересно

<router-link tag="myCustom">

или <router-link tag="my-сustom">

я просто попробывал так, но не зашло

может попробовать хак в виде: <router-link tag="template"> <my-component /> </router-link>

оул, и как это работает?

хо

ломает вью такая штука

мы пытались

лол)

тогда либо <my-component @click=next /> либо <my-router-component to=… />

именно компонент

Мм, просто обернуть роутер-линк вокруг своего тэга? А вообще, что ты хочешь сделать?

ну у меня есть компонент кнопка

Так

я хотел, чтоб роутер линк был ей

Не смотрел, как router-link внутри устроен, но попробуй сделать extends в свою кнопку от роутер-линка

я хотел, чтоб роутер линк был ей

И ты кнопку а виде компоненты сделал?

Но если серьёзно, то Станислав хорошую ид дал

Идею

А еще у нас есть router.push(location, onComplete?, onAbort?), но наверное ты его видел

Идею

спасибо за идею с this.$root . D компоненте достучался через рут, и изменил this.$root.message = 'key' в родителе main.js, поставил ослеживание изменения и все ок const vm = new Vue({ el: '#app', data: { message:"hello", }, apolloProvider, router: router }) vm.$watch('message', function (newVal, oldVal) { console.log('main.js: ' + this.message) })

почему то как не старался, через props ничего не получилось сделать

Можно ещё event слать

Можно ещё event слать

Хотя не

Хотя не

вопрос по безопасности. Ты мне скидывал про сторожевые хуки. Их можно объявлять в main.js глобально, или в роутсах, конкретно для отдельного компонента. Я делаю проверку на пользователя, переменная которого у меня зарегистрированна глобально(_id), и на основе данных буду пускать к определенному интерфейсу. Соответственно если _id пуст(так происходит при логауте или если юзер более 5 минут оффлай). Вопрос, сможет ли какой то черт, подменить глобальную переменную с _ID и получить доступ?

вопрос по безопасности. Ты мне скидывал про сторожевые хуки. Их можно объявлять в main.js глобально, или в роутсах, конкретно для отдельного компонента. Я делаю проверку на пользователя, переменная которого у меня зарегистрированна глобально(_id), и на основе данных буду пускать к определенному интерфейсу. Соответственно если _id пуст(так происходит при логауте или если юзер более 5 минут оффлай). Вопрос, сможет ли какой то черт, подменить глобальную переменную с _ID и получить доступ?

Просто валидируй ещё и на сервере, +id сделай большим и трудным для подбора

Просто валидируй ещё и на сервере, +id сделай большим и трудным для подбора

ты сам то как делаешь?)

Оба: у меня и клиент и сервер все валидирует + id довольно крупный

20+ символов чтоли

И токен посылается в хедере через специальное поле

X-Auth-Token

И токен посылается в хедере через специальное поле

хм, в пейлоад токен, помимо времени протухания, id можно еще подставить ip, и все это будет проверяться при каждом обращении к серверу

хм, в пейлоад токен, помимо времени протухания, id можно еще подставить ip, и все это будет проверяться при каждом обращении к серверу

Можно csrf токен ещё добавить

Но если юзаешь https, то можешь не париться об атаках типа mitm

вопрос по безопасности. Ты мне скидывал про сторожевые хуки. Их можно объявлять в main.js глобально, или в роутсах, конкретно для отдельного компонента. Я делаю проверку на пользователя, переменная которого у меня зарегистрированна глобально(_id), и на основе данных буду пускать к определенному интерфейсу. Соответственно если _id пуст(так происходит при логауте или если юзер более 5 минут оффлай). Вопрос, сможет ли какой то черт, подменить глобальную переменную с _ID и получить доступ?

ты прими за правило, что никаким данным полученым с клиента доверять нельзя

Но если юзаешь https, то можешь не париться об атаках типа mitm

на самом деле можешь + зависит от степени грамонтости пользователя

Но если юзаешь https, то можешь не париться об атаках типа mitm

конечно сертификат. Тут именно специфика JWT, которую я не до конца понимаю. С JWT csrf не нужен вроде

ты прими за правило, что никаким данным полученым с клиента доверять нельзя

золотое правило :)

Спасибо всем, покручу, посмотрим что поулчится)

Зачем jwt совмещать с https?

Зачем jwt совмещать с https?

это вопрос :) как минимум, что у пользователя было меньше вопросов

Зачем jwt совмещать с https?

так у них же цели разные

так у них же цели разные

Просто я помню что обе предоставляют шифрование

Впрочем, ещё почитаю

Просто я помню что обе предоставляют шифрование

сертификат тупо шифрует весь трафик, а JWT авторизовывает пользователя в заисимости от алгоритма. с RS проверяет публичнй ключ на сервере, с учетом вложенных данных при каждом запросе

короче, Илья нужен :D

who summons the summonner...

че нада? (с)

Помолимся богу

че нада? (с)

Привет. вопрос по JWT, а точнее по безопасности. У меня есть страница авторизации на которой я получаю публичный ключ. В main.js я этот ключ гоняю по хуку при каждом запросе к серверу и проверяю кей. на сервере если он валиден, то возвращаю пользователя ID На клиенте, если пользователь не пустой, то даю доступ к странице профиля. и паралельно регистррию глобально ID, чтобы с ним работать(удалять, редактировать данные) При каждом действии от клиента, идет проверка токена. Если ID, время протухания, IP соответсвует, то пользователю разрешается сделать действие, если нет - то логоф такой подход нормлаьный?

ну звучит нормально

только про ID нипанятна

что за id

нипанятна

что за id

уникальный ID юзера

че нада

а, тогда ок

ERROR: S client not available

Я же говорил, что jQuery портит людей

ну и публичный ключ и JWT это разные вещи - JWT это симметричная криптография

но пофигу, это детали реализации

конечно портит

Илья, ты на HolyJS пойдешь?

в Питере?

Да

я на нем с большой вероятностью выступать буду

Просто он будет через дорогу от моего дома

я бы сходил ?

ну т.е. я доклад подал, в оргкомитете 2 из 5 меня лично знают, поэтому шансы большие :)

ну и публичный ключ и JWT это разные вещи - JWT это симметричная криптография

тогда непонятно мне. у JWT есть алгоритм RS, там можно юзать паблик и приват. по сути если правльно понимаб, то как у тебя в видео тоже самое что акссес кей и рефреш(секрет кей) https://jwt.io/

а, да

все верно, я вечно про rs забываю

нет

refresh token и secret key совсем разные вещи

refresh token и secret key совсем разные вещи

хм, на основани приват кей, я выпускаю паблик кей и пеервыпускать пока юзер активен, так?

@Kelin а что касается jquery

@johndohe Суть рефреш токена совсем не в этом. Аксес токен - живет фиксированное время. Рефреш токен - протухает после первого использования и позволяет получить новую пару (аксес, рефреш)

Это нужно чтобы защититься от "единоразового" угона пары токенов

я в видео рассказываю

Это нужно чтобы защититься от "единоразового" угона пары токенов

да, эту схему я и расатриваю. И приват кей я так же хочу анулировать если кто-то авторизовывается с теме же данными и при том же подходе с приват кей - рефреш кей, в чем будет разница?

ну нельзя отдавать наружу приватный ключ

он на то и приватный, что его знает только ОДНА сторона

(сервер)

(сервер)

я взорву сегодня мозг:) Его я дальше сервер и не отдаю. у меня гуляет паблик кей выпущенный от приватного. а пара: паблик-приват генерются при авторизации юзера каждый раз новые

соответственно, паблик перевыпускается от привата при активности юзера

Ну ок, но это не паблик и приват

я в видео рассказываю

А можно ссылку на видео, или как нагуглить его?