@vuejs_ru
rddlr09.09.2018
09:47:25
09:47:25
если проблема в домене, то юзай апи на одном домене
Alex09.09.2018
09:47:28
09:47:28
Ребят, где взять информацию по теме - нужно в приложении сделать несколько шаблонов, и в каждом шаблоне несколько страниц, шаблоны ничего общего не имеют, допустим шаблон1-основной сайт с прайсами галереей итд, а шаблон2 - админка с несколькими страницами... хотелось бы както через роуты все сделать правильно, а не просто в админке менять отображаемые компоненты
А по какой теме-то? Что такое шаблон? Как хранить? Или тебя надо вообще научить что это и как делается от и до?rddlr09.09.2018
09:47:55
09:47:55
https://dev.to/rdegges/please-stop-using-local-storage-1i04
GoogleAlex09.09.2018
09:48:43
09:48:43
Токен можно увести же
А что он даст без секрет-кея? Токен у пользователя обычно привязан к IP и другим вещам, типа юзер-агентНа сервере его не хранят.
К примеру пароли пользователей на сервере не хранят. Хранят только хеши и ключ. Но по ним невозможно пароль восстановить.
Artem09.09.2018
09:50:43
09:50:43
А по какой теме-то? Что такое шаблон? Как хранить? Или тебя надо вообще научить что это и как делается от и до?
По роутингу между шаблонами-страницамиAlex09.09.2018
09:50:48
09:50:48
Есть ещё более сложные варианты с сертификатами.
Alex09.09.2018
09:51:18
09:51:18
Но даже у сертификата есть ключ, который на сервере хранится.
Van09.09.2018
09:52:14
09:52:14
А что он даст без секрет-кея? Токен у пользователя обычно привязан к IP и другим вещам, типа юзер-агент
Ты уводишь jwt токен у пользователе, если он валидный сможешь сделать с ним запросы на сервер, и они будут валидны.Van09.09.2018
09:54:03
09:54:03
https://dev.to/rdegges/please-stop-using-local-storage-1i04
Если нет защиты от xss, ничего не спасёт же.Alex09.09.2018
09:54:23
09:54:23
Ты уводишь jwt токен у пользователе, если он валидный сможешь сделать с ним запросы на сервер, и они будут валидны.
Допустим я его увел. Делаю запрос, а сервер проверяет токен и говорит что он привязан к другому IP. Чо делать тогда?Google
Alexey09.09.2018
09:55:05
09:55:05
rddlr09.09.2018
09:55:33
09:55:33
Допустим я его увел. Делаю запрос, а сервер проверяет токен и говорит что он привязан к другому IP. Чо делать тогда?
ты проверяешь айпи по каждому запросу?такого даже пейпал не делает лол
Alexey09.09.2018
09:56:18
09:56:18
Можно сеть проверять или провайдера, вариантов масса
rddlr09.09.2018
09:56:31
09:56:31
ну если у тебя 1 запрос в минуту то все ок
Alex09.09.2018
09:56:35
09:56:35
Что мешает?
Van09.09.2018
09:56:48
09:56:48
Допустим я его увел. Делаю запрос, а сервер проверяет токен и говорит что он привязан к другому IP. Чо делать тогда?
Эм, ну у тебя авторизация будет пропадать каждый раз, как пользователь будь провайдера менятьAlex09.09.2018
09:57:08
09:57:08
Эм, ну у тебя авторизация будет пропадать каждый раз, как пользователь будь провайдера менять
Да, верно. Так и должно быть.rddlr09.09.2018
09:57:38
09:57:38
если в монге какой-то, то конечно же узкое
The09.09.2018
09:57:47
09:57:47
ну в jwt
Alex09.09.2018
09:57:50
09:57:50
Не поверишь, но так построены многие системы.
Van09.09.2018
09:58:01
09:58:01
Да, верно. Так и должно быть.
С чего вдруг? Тот же вк или фб не разлогинивает, когда я с одно на другой вайфай цепляюсьThe09.09.2018
09:58:08
09:58:08
что чего?)
Alex09.09.2018
09:58:19
09:58:19
Хранится только хеш.
GoogleAlex09.09.2018
09:58:40
09:58:40
Не видел разве хеш суммы например при скачивании образов дистрибутивов?
Vlad09.09.2018
09:59:13
09:59:13
я его не храню нигде ибо это дебилизм
Да не , все соц сети хранят. В фб вообще с нового айпи не зайдёшь по человеческиAlex09.09.2018
09:59:23
09:59:23
rddlr09.09.2018
09:59:52
09:59:52
обалдеть. да какая нахер разница))) ну хеш ты сравниваешь, ок)))
что это меняет?
еще одна проверка на каждый запрос
Vlad09.09.2018
10:00:13
10:00:13
А , вы про каждый запрос
The09.09.2018
10:00:24
10:00:24
какая проверка)) храни в jwt IP и все.
Alex09.09.2018
10:00:25
10:00:25
обалдеть. да какая нахер разница))) ну хеш ты сравниваешь, ок)))
Не ещё одна, а единственная. Как и проверка токена у тебя при текущем состоянии.Van09.09.2018
10:00:26
10:00:26
не вижу логической связи
Смотри, я авторизуются пользователя, на сервере пишу хттпонли куку. Что дальше? Как мне при перезагрузке страницы на клиенте узнать, что я авторизован?Alex09.09.2018
10:00:49
10:00:49
Блин, ну чего так туго?
The09.09.2018
10:00:56
10:00:56
декодишь JWT, он подписан ключем, в нем есть IP кому выдан токен, если даже токен увели, то делай проверку на IP. ни одного запроса в базу тут не нужно.
rddlr09.09.2018
10:01:07
10:01:07
Смотри, я авторизуются пользователя, на сервере пишу хттпонли куку. Что дальше? Как мне при перезагрузке страницы на клиенте узнать, что я авторизован?
присилай что-то помимо самой куки в случае успешной авторизацииVan09.09.2018
10:01:20
10:01:20
Alex09.09.2018
10:01:33
10:01:33
Берем все данные необходимые: токен, IP, юзерагент. Делаем единую строку и считаем хеш. Сравниваем с существующим. Всё!
GoogleVan09.09.2018
10:01:42
10:01:42
декодишь JWT, он подписан ключем, в нем есть IP кому выдан токен, если даже токен увели, то делай проверку на IP. ни одного запроса в базу тут не нужно.
У тебя при смене провайдера будет авторизация слетать, лолAlexey09.09.2018
10:02:02
10:02:02
У тебя при смене провайдера будет авторизация слетать, лол
Так-то она и при экспайре токена будет слетаттThe09.09.2018
10:02:08
10:02:08
Van09.09.2018
10:03:00
10:03:00
лол, если токен не увели - не будет.
Эм, ты же по айпи проверяешь. Сменился айпи — слетела авторизацияrddlr09.09.2018
10:03:06
10:03:06
Берем все данные необходимые: токен, IP, юзерагент. Делаем единую строку и считаем хеш. Сравниваем с существующим. Всё!
имеет смысл сравнивать только когда рефрешишь токен, а не на каждый запрос.
Alex09.09.2018
10:03:40
10:03:40
Пофигу что токен уведут, он не должен быть долгоживущим, а при рефреше все старые должны инвалидироваться
Alex09.09.2018
10:04:06
10:04:06
имеет смысл сравнивать только когда рефрешишь токен, а не на каждый запрос.
А сравнивается не каждый запрос. Только при изменении данных или показе важной инфы обычно.AdminERROR: S client not available
Alex09.09.2018
10:04:13
10:04:13
Вариантов реализации масса
rddlr09.09.2018
10:04:18
10:04:18
Пофигу что токен уведут, он не должен быть долгоживущим, а при рефреше все старые должны инвалидироваться
не должно быть пофигу, это security risk даже если токен живет 15 минутThe09.09.2018
10:04:23
10:04:23
Эм, ты же по айпи проверяешь. Сменился айпи — слетела авторизация
ну выдавай по другим принципам, фингерпринт браузера, ещё что-либо, систему скоринга сделай, суть в том, что запросы в базу делать даже не придется.Alex09.09.2018
10:04:30
10:04:30
У банк-клиентов обычно вообще таймаут в 5 минут
Alex09.09.2018
10:05:11
10:05:11
не должно быть пофигу, это security risk даже если токен живет 15 минут
Боюсь вы не найдёте варианта, который нельзя было счесть за секурити-рискrddlr09.09.2018
10:05:25
10:05:25
Van09.09.2018
10:05:32
10:05:32
ну выдавай по другим принципам, фингерпринт браузера, ещё что-либо, систему скоринга сделай, суть в том, что запросы в базу делать даже не придется.
Я как бы в курсе как jwt работает. Я не понимаю зачем проверять по айпи, это себе в ногу стрелять.Alex09.09.2018
10:06:01
10:06:01
Я как бы в курсе как jwt работает. Я не понимаю зачем проверять по айпи, это себе в ногу стрелять.
Не хочешь - не проверяй. Тебя никто не завставляет. Это просто допмера безопасности.GoogleThe09.09.2018
10:06:14
10:06:14
Я как бы в курсе как jwt работает. Я не понимаю зачем проверять по айпи, это себе в ногу стрелять.
только по IP - да. я тут не за то, что проверять только по IP - это хорошо и правильно. я за то, что для того, чтобы получить все данные для валидации, не нужно ходить в базу. они могут быть уже в самом токене.Van09.09.2018
10:06:43
10:06:43
Alex09.09.2018
10:07:11
10:07:11
только по IP - да. я тут не за то, что проверять только по IP - это хорошо и правильно. я за то, что для того, чтобы получить все данные для валидации, не нужно ходить в базу. они могут быть уже в самом токене.
Данным от пользователя нельзя ведь доверять. Как же ты доверишься токену, в котором IP?rddlr09.09.2018
10:07:19
10:07:19
Я как бы в курсе как jwt работает. Я не понимаю зачем проверять по айпи, это себе в ногу стрелять.
проверка по айпи норм, но только при рефреше например, или еще по какому-то триггеру важному, типо сбросу пароля. но каждый запрос имхо это перебор.The09.09.2018
10:07:33
10:07:33
Данным от пользователя нельзя ведь доверять. Как же ты доверишься токену, в котором IP?
почитайте как работает jwt, и все поймете :)
Роман09.09.2018
10:07:35
10:07:35
Данным от пользователя нельзя ведь доверять. Как же ты доверишься токену, в котором IP?
Его можно зашифровать же.rddlr09.09.2018
10:08:14
10:08:14
только по IP - да. я тут не за то, что проверять только по IP - это хорошо и правильно. я за то, что для того, чтобы получить все данные для валидации, не нужно ходить в базу. они могут быть уже в самом токене.
тебя за хранение айпи в токене Еврокомиссия трахнет на 200 миллионов долларов, напримерAlexey09.09.2018
10:08:28
10:08:28
В чате перепись жуниоров, не понимающих как работают jwt
rddlr09.09.2018
10:08:37
10:08:37
ты предлагаешь хранить персональные данные юзера в отрытом виде (айпи в токене)
The09.09.2018
10:08:41
10:08:41
тебя за хранение айпи в токене Еврокомиссия трахнет на 200 миллионов долларов, например
ну так не храни его в base64, лол, какие проблемы))rddlr09.09.2018
10:08:58
10:08:58
ну это уже ок, ок
Alex09.09.2018
10:09:17
10:09:17
Van09.09.2018
10:09:31
10:09:31
проверка по айпи норм, но только при рефреше например, или еще по какому-то триггеру важному, типо сбросу пароля. но каждый запрос имхо это перебор.
Да ну блин, у тебя айпи может поменяться пока ты новый пароль вводишь, лол по айпи проверять авторизацию вообще.Alexey09.09.2018
10:10:01
10:10:01
Van09.09.2018
10:10:02
10:10:02
В смысле в токене айпи хранить
The09.09.2018
10:10:22
10:10:22
поэтому делайте систему скоринга, и делайте эвристику.
Alex09.09.2018
10:10:35
10:10:35
И как верифицируется токен?
Открыть в Telegram