169 похожих чатов

Как можно сделать скачивание файла у определенного юзера? допустим

в контроллере home так:
[Authorize]public IActionResult GetFile()
{
return PhysicalFile("hosting/" + User.Identity.Name + "/" + Request.Form["filename"], "application/multipart-data", "filename");
}

но как скачать пользователю этот файл, если для авторизации надо jwt токен, который в localStorage и нужно с помощью js делать post запрос + токен в header кидать

есть вариант генерить уникальную ссылку на 5 минут, но как это сделать я не знаю

25 ответов

25 просмотров

а чого токен не в куках?

.
а чого токен не в куках?

Потому что в куки не пихают жвт

.
чому

Потому что его передают отдельно в заголовке Authorization

.
чому

Тому що передається в хедері авторизації і зберігають в стореджі

а чого йому тут цей токен гет запросом не передати

demn- Автор вопроса
.
а чого йому тут цей токен гет запросом не передати

чтобы path в body передать (насколько мне известно, в get запросах нет body)

Можешь пояснить что конкретно ты не понимаешь?

demn- Автор вопроса

-

Віталій EasyMod
Потому что в куки не пихают жвт

Есть такая практика, когда токен действительно устанавливают в куку, с целью обхода XSS атаки.

Віталій EasyMod
может тогда лучше сессию в куках держать?

Люди что только не придумают. Можно и сессию. Понятно что задание стейта jwt лишает его смысла. Но что важнее, смысл или безопасность? По мне так второе.

1. Краще замість + стрінгів робити через $"hosting/{User.Identity.Name}......." 2. Якщо ти вказуєш атрибут [Authorize] значить твій код очікує заголовок Authorization має бути у запиті. Рішення : прокидувати жсом цей токен у заголовку в цьому методі. Authorization: Bearer {вставити токен}

Viacheslav Architect
Люди что только не придумают. Можно и сессию. Поня...

ну то есть сам по себе jwt не достаточно безопасен без костылей?

Віталій EasyMod
может тогда лучше сессию в куках держать?

Можна. Теж буде відпрацьовувати аналогічно. Але на жсі жопно витягувати кукіси. Але немає нічого неможливого

Ihor Volokhovych
1. Краще замість + стрінгів робити через $"hostin...

можно мідлварю накодити що авторизація буде і без хедера відбуватись

Віталій EasyMod
ну то есть сам по себе jwt не достаточно безопасен...

Ничто не возможно уберечь от взлома. Но сам по себе jwt безопасен, если можно так сказать. Не безопасен именно способ его хранения.

Viacheslav Architect
Ничто не возможно уберечь от взлома. Но сам по себ...

"Ничто не возможно уберечь от взлома": Как узнать пароль администратора? Берём паяльник и администратора...

Viacheslav Architect
Ничто не возможно уберечь от взлома. Но сам по себ...

Я б обмазався ще однією абстракцією над токеном

Viacheslav Architect
какой

Генеруєш гуід і замість ьокена юзаєш гуід

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта