e
ставлю пароль 123 везде и не парюсь
Size: a a a
2019 July 23
KN
более того - его имеет смысл привязывать к домену, а внутри хранить информацию о сессии, для того, чтобы сбросить можно было в любой момент
К
просто эта уязвимость есть во многих реализациях стандартных
К
короче, я вообще в жизни ни разу не видел смысла использовать JWT )
KN
для того, чтобы не хранить всё это в БД
V
короче, я вообще в жизни ни разу не видел смысла использовать JWT )
чем вы идентифицируете пользователей?
К
GUID в cookie
V
GUID в cookie
что мешает его перехватить xss и удобно ли каждый раз ходить в базу за юзером?
К
http only мешает )
A
http only мешает )
CSRF?)
AB
опять началось
К
CSRF?)
у нас хитрая система заголовков, которая не позволяет провернуть )
AB
если кто-то там ещё хочет угореть по JWT, гляньте вот это https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc
К
что мешает его перехватить xss и удобно ли каждый раз ходить в базу за юзером?
А вообще, у нас больно огромное приложение, что бы мы о таких вещах задумывались. Мы больше думаем о пиковых нагрузках
AB
и комментарии все почитайте обязательно
A
если кто-то там ещё хочет угореть по JWT, гляньте вот это https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc
И вот это @why_jwt_is_bad
К
если кто-то там ещё хочет угореть по JWT, гляньте вот это https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc
чето слишком сложно и много букв, есть сокращенный вариант?
AB
чето слишком сложно и много букв, есть сокращенный вариант?
есть
AB