170 похожих чатов

Народ! я тут холиварю, почему надо юзать JWT, а не

куки авторизацию? 🙂

18 ответов

35 просмотров

В куки класть жвт? ☺️

Единственный верный способ при аутентификации браузерного клиента

Dmitriy Sviridov
Кто сказал и почему?

Потому что в ином случае любой npm-пакет имеет к нему доступ

Dmitriy Sviridov
Кто сказал и почему?

куки единственная сущность к которой можно явно запретить доступ для скриптов

Maxim Lebedev
куки единственная сущность к которой можно явно за...

localStorage, sessionStorage и прочие не предназначены для чувствительных данных, потому что видны скриптам. А видимость кук можно ограничить только серверами

Аноним
Maxim Lebedev
куки единственная сущность к которой можно явно за...

1) А в чём проблема хранить access токен в памяти ? (в нашем случае - во временной переменной) Назовите мне хоть один вредоносный скрипт, который кроме хранилищ парсит все переменные приложения 2) Как будете без доступа к токену проверять его время жизни для отправки запроса на обновление ? 3) Как вы себе представляете работу с куками в мобильных приложениях ?

Аноним
1) А в чём проблема хранить access токен в памяти ...

А парсить все переменные и не нужно, прежде чем попасть в память этот токен должен как-то прилететь - либо в незащищенную куку, либо заголовком либо в теле ответа. Собственно там и есть возможность его поймать. Так что декламатор выше прав - только httpOnly + secure cookie

Аноним
Bat
А парсить все переменные и не нужно, прежде чем по...

Пожалуй соглашусь. Плюс через куки банально намного удобней. Тогда вопрос - а как фронт должен понимать, что ему запрос на refresh надо отправить ? Когда в ответе приходит что токен недействителен ?

Bat
А парсить все переменные и не нужно, прежде чем по...

Зачем вообще jwt, если сессия уже запущена и пользователь и так аутентифицируется?

Аноним
Александр Парамонов
Зачем вообще jwt, если сессия уже запущена и польз...

Чтобы на каждом запросе не лазить в базу, например за ролью пользователя

Александр Парамонов
Зачем вообще jwt, если сессия уже запущена и польз...

jwt нужен когда у тебя несколько сервисов, т.к. в нем ты можешь зашить основную инфу (которая тебе нужна) о юзере и тебе не придется на каждый хит слать запрос в бд или сервис юзеров/аутентификации.

Аноним
Чтобы на каждом запросе не лазить в базу, например...

Сохрани все, что кодируешь в jwt - в сессию, зачем придумывать велик) Если нужно stateless, то сессии не нужны

Аноним
Чтобы на каждом запросе не лазить в базу, например...

Это можно в мапу засунуть. Я насколько понимаю JWT хорош там где много серверов и когда нет необходимости в репликации обширных данных пользователя.

Bat
jwt нужен когда у тебя несколько сервисов, т.к. в ...

Только если эта инфа не может измениться

Аноним
Roman Timofeev
А если роль поменялась?)

Обычно у токена маленькое время жизни. После рефшера будет новая роль

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта