170 похожих чатов

Народ! я тут холиварю, почему надо юзать JWT, а не

куки авторизацию? 🙂

18 ответов

28 просмотров

В куки класть жвт? ☺️

Единственный верный способ при аутентификации браузерного клиента

Dmitriy Sviridov
Кто сказал и почему?

Потому что в ином случае любой npm-пакет имеет к нему доступ

Dmitriy Sviridov
Кто сказал и почему?

куки единственная сущность к которой можно явно запретить доступ для скриптов

Maxim Lebedev
куки единственная сущность к которой можно явно за...

localStorage, sessionStorage и прочие не предназначены для чувствительных данных, потому что видны скриптам. А видимость кук можно ограничить только серверами

Аноним
Maxim Lebedev
куки единственная сущность к которой можно явно за...

1) А в чём проблема хранить access токен в памяти ? (в нашем случае - во временной переменной) Назовите мне хоть один вредоносный скрипт, который кроме хранилищ парсит все переменные приложения 2) Как будете без доступа к токену проверять его время жизни для отправки запроса на обновление ? 3) Как вы себе представляете работу с куками в мобильных приложениях ?

Аноним
1) А в чём проблема хранить access токен в памяти ...

А парсить все переменные и не нужно, прежде чем попасть в память этот токен должен как-то прилететь - либо в незащищенную куку, либо заголовком либо в теле ответа. Собственно там и есть возможность его поймать. Так что декламатор выше прав - только httpOnly + secure cookie

Аноним
Bat
А парсить все переменные и не нужно, прежде чем по...

Пожалуй соглашусь. Плюс через куки банально намного удобней. Тогда вопрос - а как фронт должен понимать, что ему запрос на refresh надо отправить ? Когда в ответе приходит что токен недействителен ?

Bat
А парсить все переменные и не нужно, прежде чем по...

Зачем вообще jwt, если сессия уже запущена и пользователь и так аутентифицируется?

Аноним
Александр Парамонов
Зачем вообще jwt, если сессия уже запущена и польз...

Чтобы на каждом запросе не лазить в базу, например за ролью пользователя

Александр Парамонов
Зачем вообще jwt, если сессия уже запущена и польз...

jwt нужен когда у тебя несколько сервисов, т.к. в нем ты можешь зашить основную инфу (которая тебе нужна) о юзере и тебе не придется на каждый хит слать запрос в бд или сервис юзеров/аутентификации.

Аноним
Чтобы на каждом запросе не лазить в базу, например...

Сохрани все, что кодируешь в jwt - в сессию, зачем придумывать велик) Если нужно stateless, то сессии не нужны

Аноним
Чтобы на каждом запросе не лазить в базу, например...

Это можно в мапу засунуть. Я насколько понимаю JWT хорош там где много серверов и когда нет необходимости в репликации обширных данных пользователя.

Bat
jwt нужен когда у тебя несколько сервисов, т.к. в ...

Только если эта инфа не может измениться

Аноним
Roman Timofeev
А если роль поменялась?)

Обычно у токена маленькое время жизни. После рефшера будет новая роль

Похожие вопросы

Обсуждают сегодня

Добрый вечер. Есть вопрос, а может и предложение. Был у меня диалог в другой группе о делфи и я задался вопросом: "А нельзя ли в делфи цвет //коментария и {комментария} сде...
Kraszx
24
Всем привет! Подскажи, пожалуйста, как передать в TComboBox сразу значение и id записи. На Delphi я делал так: ComboBox1.Items.AddObject('Какое-то значение', Pointer(id запис...
Евгений
13
Мдя, прикол, боевая сборка запускается (именно под отладчиком) после F9 примерно полторы минуты (97 секунд если быть точным). Начал копать - проблема детектится сразу - зависа...
Александр (Rouse_) Багель
38
я так понимаю, я так подозреваю, что создание такого плагина для человека, кто умеет писать плагины для делфи потребует минут 5-10 времени. но это мое подозрение. хотелось бы ...
Kraszx
7
Товарищи, кто работа с iphelper? Или может я в самой логике ошибки фигачу, не пойму.... var ifTable : PMIB_IFTABLE; size, corSize: DWORD; Buffer ...
Warfarellen
4
Здравствуйте, вопрос по структурам данных. Были у вас случаи, когда пришлось писать деревья или двунаправленные списки?
/ /
50
Коллеги, добрый вечер. Создаю коллекцию от TFPGMap, ключ - перечисление, значение - целое. Нужно отсортировать коллекцию по значению. Как это можно сделать?
Kirill Filippenok
11
Скажи а ты когда этот канал создавал ты уже дельфи не любил, или это со временем пришло?
Роман Лях (rgreat)
18
Привет, такой вопросик появился кажется ли вам что Rust слишком сложный/строгий для высокоуровневого программирования и слишком "безопасный"/строгий для низкоуровневого?
Крокант
10
Всем привет! Использую кастомное модальное диалоговое окошко, все по классике - mrOK, mrCancel как ModalResult. Однако есть нюанс - в главной форме есть универсальный обработч...
Олег Гранишевский
20
Карта сайта