👾0
ага ща пробну
Size: a a a
2020 August 26
PB
B
А я по твиттерам искал
B
И еле нашел +- в качестве
M
ага ща пробну
Вернее даже не url энкод, а прям байт нужный вставить (через хекс редактор бурповский
M
находил кто-нибудь статьи, где в деталях описано как правильно реализовывать авторизацию с JWT? Я имею ввиду максимально безопасный способ. Сейчас у разрабочиков реализован только access JWT токен, который выдается в ответ на логин\пароль, и живет целых 2 недели. Есть риски, что в случае утечки токена(а лежит он в localstorage) его нельзя даже никак отозвать. Знаю про реализации с refresh токеном, но хочется именно в деталях почитать. Где их обоих хранить(очевидно лучше не вместе, а например рефреш в httponly куку положить), при каких ситуациях и как менять и тд
Access token - вообще только в памяти нужно хранить)
PB
находил кто-нибудь статьи, где в деталях описано как правильно реализовывать авторизацию с JWT? Я имею ввиду максимально безопасный способ. Сейчас у разрабочиков реализован только access JWT токен, который выдается в ответ на логин\пароль, и живет целых 2 недели. Есть риски, что в случае утечки токена(а лежит он в localstorage) его нельзя даже никак отозвать. Знаю про реализации с refresh токеном, но хочется именно в деталях почитать. Где их обоих хранить(очевидно лучше не вместе, а например рефреш в httponly куку положить), при каких ситуациях и как менять и тд
Сделать аццесс-токен невалидным можно поменяв, например, секретный ключ для его шифрования для конкретного пользователя
D
Access token - вообще только в памяти нужно хранить)
зачем это нужно какое преимущество дает это с точки зрения безопасности по сравнению с localstroage?
B
Access token - вообще только в памяти нужно хранить)
А откуда его взять?(
PB
В каких-то, простигосподи, jwt-батарейках для жданги из коробки такое есть, емнип
N
есть загрузка имаг, фильтр не дает ничего кроме git,png,jpeg грузить, но если назвать файл file.php. загрузится с именем 64563546.
Попробовать jpg c payload в exif
M
зачем это нужно какое преимущество дает это с точки зрения безопасности по сравнению с localstroage?
Нельзя прочитать из другого скрипта, даже загруженного с того же домена.
[
Попробовать jpg c payload в exif
О, а можно поподробнее?
M
А откуда его взять?(
Получить при обмене старого refreshToken на новую пару refreshToken и accessToken
N
N
Вот там уже готовые есть.
[
Thx
D
Нельзя прочитать из другого скрипта, даже загруженного с того же домена.
не силен в js, но при этом разве не будут проблемы с тем, что открыв на соседней вкладке тот же сайт юзер окажется разлогиненен?
B
не силен в js, но при этом разве не будут проблемы с тем, что открыв на соседней вкладке тот же сайт юзер окажется разлогиненен?
Не-а
M
не силен в js, но при этом разве не будут проблемы с тем, что открыв на соседней вкладке тот же сайт юзер окажется разлогиненен?
А тут уже вопрос - описать, какое поведение ты считаешь желательным, и продумать, как его реализовать. Если что - refreshToken во многих сценариях есть смысл хранить. Но я бы рекомендовал indexedDB а не localStorage - он, вроде, немного лучше защищён от атак извне (из локальных программ)