170 похожих чатов

А если ситуация - компьютер один, но пользователей два. Например

администратор в фитнес зале. Работают через два дня. У каждого свой аккаунт на CRM. Чтобы исключить подмену куки в данном случае, самый действенный способ - уничтожать их при logout (и давать новые cookie, при логине)? Или дать время жизни - сутки, к примеру?

33 ответов

15 просмотров

Так при логауте, у тебя данные сессии пустыми становятся, зачем её пересоздавать?

Насколько помнится при сессии с куками время жизни не ставят(возможно и делают так), но да, при логауте чистится все

Дать время жизни, сотрудник может забыть нажать logout

Тогда не пойму чем плох тот же джвт? (Вопрос не для холивара, а скорее к ТС, мб он нашел для себя сессии более подходящими)

сессиями проще контролировать (например их время жизни) с сервера

Опасный вопрос

Как минимум при смене пароля можно разлогинивать других пользователей сразу

++ поэтому спросил не лучше ли джвт, а в чем причина выбора именно сессий, мб требование к сервису стоит)

Согласен, в случае "проеба" токена, его не кильнешь пока ттл не устареет, либо не ревоукнешь его путем смены пароля)

можно держать блеклист токенов, но во первых надо знать токен, во вторых это уже не совсем stateless будет

Jwt нужен если: 1) ты хочешь дать доступ к стороннему сервису 2) у тебя микросервисы Если нет ничего из этого - используй только сессии

++ фиг с ним с 1м пунктом, 2й пункт теряет смысл джвт)

стороннему сервису по сути похрен какой токен пихать в заголовки запросов к АПИ, там может быть и сессия

А как же 3) доступ к своему фронту? Чтобы тот 1 раз авторизовался и дальше а) перелогинился от юзера б) юзера выкинул, чтобы тот сам повторно вошёл, если это супер-пупер защищенная апп и не нужно без его ведома обновляться?

Какой TTL у такой сессии будет?

Это можно сделать и через сессию

Правда не видел реализацию с сессиями для сторонних сервисов. Обычно джвт либо какие-то ауз токены, как у Амазон, например

а какой TTL будет у токена выдать его вместо сессии? выдадите без ttl токен?

Я и не говорю, что нельзя. Суть отличия сессий от джвт же ведь в стэйтлесс и возможности юзать отдельный ауз микросервис, при этом остальным сервисам достаточно распарсить токен и все (при джвт)

Год, для сессии год это много

у больших сервисов по типу гугла и амазон да но с сервисами по меньше встречаю это очень часто, вместо jwt там просто какой то uuid или какой то еще велосипед

какая разница сесссия не сессия? токен точно так же украсть можно

Фэйсбук вроде 2 токена джвт юзает, шорт и лонг. И требует шорт, чтоб получить лонг

В плане ттл

Такая что сессия хранит много информации, и при большом ТТЛ будет много мусорных сессий, которые уже не используются

Там даже велосипеда нет. Видел и применяю местами практику с рандомным (пусть будет ууид) ключом, для идентификации, а чтоб пост запросы делать, требую подпись в заголовке

ну да, тут нельзя не согласится, поэтому и говорю что такое заметил у сервисов на порядок меньше амазона

Да, дефолт такой. Но то что я говорил про фб тут: https://developers.facebook.com/docs/pages/access-tokens/ У них прям шорт и лонг аксесс

Tester- Автор вопроса

Надежнее сессии гораздо, как понял

Хз, как-то гуглил, и нагуглился. В итоге ни в одном проекте не юзаем сессии) все "как у всех" с оауз 2.0 (джвт)

Каюсь, оауз это все же протокол, а джвт формат токена, но как заметил, в обиходе подмена понятий идёт и т.к. оауз в качестве формата токена обычно юзает джвт, то и под джвт подразумевают большинство, как раз оауз) Если мы про это

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта