находил кто-нибудь статьи, где в деталях описано как правильно реализовывать  авторизацию с JWT? Я имею ввиду максимально безопасный способ. Сейчас у разрабочиков реализован только access JWT токен, который выдается в ответ на логин\пароль, и живет целых 2 недели. Есть риски, что в случае утечки токена(а лежит он в localstorage) его нельзя даже никак отозвать. Знаю про реализации с refresh токеном, но хочется именно в деталях почитать. Где их обоих хранить(очевидно лучше не вместе, а например рефреш в httponly куку положить), при каких ситуациях и как менять и тд

Авторизацию не надо, надо аунтефикацию))

У оваспа есть cheat sheet по этому вроде ( не про жвт а в целом)

можно почитать материалы с auth0 например https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/

Haha, classic

там же https://assets.ctfassets.net/2ntc334xpx65/o5J4X472PQUI4ai6cAcqg/13a2611de03b2c8edbd09c3ca14ae86b/jwt-handbook-v0_14_1.pdf лежит

я кстати помнил что где-то в этом чате это видел! но почему-то думал это в форме статьи было в кавычке и по поиску так и не нашел

🙏

Почему так?

согласен почти под всеми пунктами) Красный блок кажется немного надуманым. JWT это технология не совсем про безопаность имхо, скорее как жить при архитектуре с кучей микросервисов/компонентов где ты неможешь обеспечить достаточную связность для единой точки проверки сессии.

ну и hmac в jwt  я бы запретил, так как только при rsa шных подписях достигается крутое преимущество. Можно разливать публичные ключи во все сервисы проверяющие JWT, а приватный для подписи иметь только на захардареной авторизационой ручке. В такой реалзации куда меньше рисков утечки секрета. А то в hmac схеме всем раздаешь секрет, он течет с 1001 сервиса непонятного и у тебя вся схема скомпрометирована сразу, больно и тупо

Жвт это просто формат...

есть загрузка имаг, фильтр не дает ничего кроме git,png,jpeg грузить, но если назвать файл file.php. загрузится с именем 64563546.

что можно еще пробовать?

а сайт-то на пехепе?

кстати на file.php.xml говорит 404 ответом, точнее он говорит 500 ошибкой, но обработчика 500 ошибки просто нет

да это ларавель вроде

а с file.php.jpg он что делает?

грузит, имя файла 4564565.jpg

На случай важных переговоров

#JWT