Всем привет, кто знает какие есть варианты валидации рефреш токена,

если он приходит в параметрах запроса, а в mongo хранится только его bcrypt хеш? кроме варианта выгрузки всех пользователей и ручной валидации. есть ли у монги какой-то механизм по работе с bcrypt хешем?

В вопросе мне кажется недостаточно данных. А зачем выгружать всех пользователей?

Как организована система токенов?

выдаётся рефреш(uuidV4) и аксесс токен (jwt)

Так пусть рефреш тоже будет jwt

Валидация идет через приватный rsa

и оттуда я получается смогу достать юзерайди. спасибо!

Разве что подписывать можно обычный токен и рефрешь разными ключами. Ну если на секьюрности упороться

2023 год на дворе. Ну какой RSA?

а что надо?

А чем подписывать jwt?

Какие-нибудь курвы. Если фронт, то ES256. если нет, то EdDSA в терминах JWT

вообще всегда ловил кринжа с подобных facepalm ответов Не все же разбираются в криптографии, нужно быть толерантным к этому

Вообще из вопроса мало что понятно. Вы храните токены в монге вместе с юзерами и хотите по рефреш токену что-то найти?\

Слушай, и вот после этого я не прохожу ни одного собеса в тот же авито :) Не надо разбираться. Есть какой-то выбор в стандартных либах. Поинтересоваться-то надо. А большинство вообще HS256 используют и в ус не дуют. На клиентской стороне подпись не проверяют. И для большинства ситуаций тех же микросервисов это нормально

а зачем, если есть RSA?

Отличный вопрос. А зачем? (есть зачем)

P.S. Не надо разбираться глубоко в криптографии. Достаточно поверхностно, чтобы иметь ответ

Уверен вы как человек публичный и способный к донесению информации сделаете отличную статью или видео о особенностях криптографических алгоритмов для чайников

даже если и есть зачем, то этим либо можно принебречь, либо это покрывает какой-то эдж кейс, и пока на него не натолкнешься то и знать это примерно бесполезно.

Это хорошая идея. Кстати

Не надо пренебрегать тем, что надо вычищать давно. RSA жрёт CPU заметно больше (а именно криптографические задачи в основном отражаются на CPU) и ключи в разы длиннее. И это очень старый алгоритм. Всё что надо знать собственно

С таким утверждением все бесполезно

так опыт/знания это и есть количество и качество решенных задач.

На каком-то этапе человек обрастает знанием определённых технологий, с которыми он может гарантировать построение работоспособного приложения. Вопрос, зачем знать больше, вполне может иметь вес.

Это да, но не знать что RSA это зашквар разрешительно только если ты только влетел в ИТ, а не преподаешь курсы.

Ну это не зашквар, но README.md бы уже обновить

а расскажете, в чем именно зашквар?

Не знать, что зашквар это термин из уголовного дискурса и не имеет значения в контексте информационных технологий разрешительно только если ты влетел в айти, читая книжки в библиотеке на зоне

кто его обычно употребляет, имеют ввиду закшварки, когда, например картошку пережаришь - она чернеет. моя бабушка еще так говорит. а картошка была последняя, вот и стыдно. ну и получается зашквар в незнании, это стыдно не знать. как-то так.

Кратко: https://www.quora.com/Is-RSA-not-secure?top_ans=158995356 Не кратко: курс МИТа по криптографии

О Господи, да всем насрать.

37 ответов это не коротко

Вообще хрен там с ним с rsa. Мало ли кто там чего не знал,не считал важным. Но вот упертость в луддизм это страшно.