170 похожих чатов

44 ответов

41 просмотр
🅰️nimeCoder- Автор вопроса

За два месяца можно многое сделать)

ты понимаешь в чём фишка рефреш токена или нет?

🅰️nimeCoder- Автор вопроса

Я понимаю, чем сессии не нравится?

🅰️nimeCoder
Я понимаю, чем сессии не нравится?

как по твоему чел зайдёт по рефреш токену, если в базе данных токена лежать не будет? Он юзлес, а access можно сделать секунд 30

21th
как по твоему чел зайдёт по рефреш токену, если в ...

зачем тогда жвт нужен, если токены в базе лежат?

Alexey Ermakov
зачем тогда жвт нужен, если токены в базе лежат?

В базе jwt не хранят, в базе рефреши хранят

🅰️nimeCoder- Автор вопроса
Alexey Ermakov
зачем тогда жвт нужен, если токены в базе лежат?

У людей шиза, это же классика, сколько говна уже все поели по поводу хранения рефреша в бд, отсутствия его и отзыва токенов

Alexey Ermakov
зачем тогда жвт нужен, если токены в базе лежат?

мне вам расписывать статью или просто в интернете почитаете зачем нужен?

🅰️nimeCoder- Автор вопроса
Grigorii K. Shartsev
В базе jwt не хранят, в базе рефреши хранят

Так фишка jwt в том чтоб не обращаться к бд

21th
мне вам расписывать статью или просто в интернете ...

в интернете любая статья == “уникальная технология не имеющая аналогов в других странах”

Alexey Ermakov
вместо просто сессии 🤷

Нет, потому что сессия (сервер сайд сессия) подразумевает наличие только сессии

Grigorii K. Shartsev
Нет, потому что сессия (сервер сайд сессия) подраз...

с которой делай что хочешь, раз уж обращаемся к бд периодически (чем чаще, тем безопаснее)

Alexey Ermakov
с которой делай что хочешь, раз уж обращаемся к бд...

JWT позволяет делать делать stateless (без хранилищ, бд и та) аутентификацию и авторизацию в распределенном приложении. В паре с ним используют refresh, чтобы решить проблемы безопасности. Рефреш - да, лежит в БД. Но рефреш используется одним сервисом - сервисом авторизации, а не всем распределенным приложением

🅰️nimeCoder- Автор вопроса
Grigorii K. Shartsev
JWT позволяет делать делать stateless (без хранили...

А если распределение приложение требует отзыва токенов?

🅰️nimeCoder- Автор вопроса
🅰️nimeCoder
Обоих

Тогда такой тип авторизации не подходит приложению

Grigorii K. Shartsev
JWT позволяет делать делать stateless (без хранили...

вот jwt для того придумывали, чтобы распределенные приложения были распределенными, без единого места для авторизации. я понимаю, как оно работает и вижу, что сделали ни то ни сё. вроде стейтлесс, а вроде централизованно надо

🅰️nimeCoder
Вот)

Вот что? Нашелся случай, когда такой тип авторизации не подходит?

Alexey Ermakov
вот jwt для того придумывали, чтобы распределенные...

Не понимаешь, если аппелируешь к неободимости наличия БД для рефреша. Авторизация работает без БД во всем распределенной приложении. Рефреш с БД используется в одном сервисе, а не всем распределенном приложении. Одному сервису иметь для своей работы свою бд - не тоже самое, что для всех

Grigorii K. Shartsev
Не понимаешь, если аппелируешь к неободимости нали...

у меня 5 сайтов есть с единой авторизацией. мне еще один сервак поднимать, чтобы у них общая база для рефреш токенов была?

Alexey Ermakov
у меня 5 сайтов есть с единой авторизацией. мне ещ...

Я где-то писал, что тебе или кому-то ещё НУЖЕН jwt? Я объяснил только, почему вашу предпосылки - ложные

🅰️nimeCoder- Автор вопроса
Grigorii K. Shartsev
Я где-то писал, что тебе или кому-то ещё НУЖЕН jwt...

в этом и вопрос: в каких кейсах jwt подойдет, вот, прям, чтобы идеальненько?

тут я не знаю уже, какой вариант. и то и другое интересно было бы узнать

Alexey Ermakov
тут я не знаю уже, какой вариант. и то и другое ин...

Необходим - нигде. Как минимум, всегда можно заменить JWT на любой другой вариант подписанного токена, что придумывали ещё во времена сессий с client-side сессиями. А где используется, можно с маленькими потерями перейти на авторизацию в отдельном сервисе или менять сетевую архитектуру приложения. Подойдёт - в распределенном, микросервисном приложении без центрального gateway-я, где не хочется каждому сервису завязываться на сервисе авторизации или быть привязанным к общей бд для более независимой разработки by design слабосвязанных сервисов

Grigorii K. Shartsev
Необходим - нигде. Как минимум, всегда можно замен...

короче, теоретически небольшая экономия на запросах к авторизации в ущерб безопасности пропорционально частоте рефреша токена

Grigorii K. Shartsev
Я не писал про экономию

это я для себя вывод сделал промежуточный

Alexey Ermakov
это я для себя вывод сделал промежуточный

Только не надо ему тогда приписывать мое сообщение в предпосылки)

Grigorii K. Shartsev
Только не надо ему тогда приписывать мое сообщение...

не приписывал) думал все-таки найти хоть один плюс для себя 🙂

Alexey Ermakov
короче, теоретически небольшая экономия на запроса...

self-signed токен позволяет новому разработчику/команде разрабатывать новый сервис ничего не зная про сервис авторизации и его местоположении, кроме формата токена

Alexey Ermakov
не приписывал) думал все-таки найти хоть один плюс...

Для пета разрабатываемого одним человеком на одной машине - никаких

Grigorii K. Shartsev
self-signed токен позволяет новому разработчику/ко...

а рефрешить его как? повторюсь - на работе это решено готовой инфраструктурой

Grigorii K. Shartsev
рефрешить кому? клиенту?

да, т.к. он в какой-то момент может стать ядовитым

Alexey Ermakov
да, т.к. он в какой-то момент может стать ядовитым

клиент просит новый у сервиса авторизации

Grigorii K. Shartsev
клиент просит новый у сервиса авторизации

в этом и вопрос: если уж стучимся иногда к авторизации - значит сервисы связаны единым центром, в случае отказа которого новый токен не получить будет, как и в случае с сессиями

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта