209 похожих чатов

Подскажите, какой способ авторизации вы используете? JWT? Хочу понять, что

стоит лучше использовать, в SPA присутствует: RBAC (роли) и возможность запретить конкретному пользователю продолжать пользоваться API (как в телеграмме отключить какое-то устройство).

Сейчас решение это API-KEY, и когда нужно отключить пользователя, то достаточно просто удалить api-key. В случае JWT нужно будет хранить список blacklisted ключей, поэтому в любом случае нельзя будет сделать, чтобы JWT работал без каких-либо операций в бд.

И где стоит хранить, в httpOnly Secure Cookies, localStorage или как вы подходите к этому решению?

8 ответов

37 просмотров

Куки безопаснее, но зависит от конкретного кейса, доступ к апи проверяется обычным canActivate гардом

Dima Haponov
нет

Какие аргументы

Levi
Какие аргументы

токенами надо пользоваться просто уметь и все будет заебок

по-моему ты чот лишнее выдумал. Зачем хранить список убитых ключей, если можно просто отдельное свойство isBanned добавить

Travik
по-моему ты чот лишнее выдумал. Зачем хранить спис...

вообще нерационально хранить все токены, имхо

Похожие вопросы

Обсуждают сегодня

Карта сайта