Y
Что Вы имеете в виду под "access token"?
Size: a a a
2021 July 05
ДМ
тот который хранится в базе, что бы можно было его инвалидировать и отзывать
ДМ
refreshToken позволяет его обновлять
ДМ
и accessToken имеет малое время жизни
ДМ
в отличии от refreshToken
ДМ
я вобще сомневаюсь что мне подходит такой подход, у меня нет микросервисов, а приложение монолит
ДМ
мне скорей подойдут обычные сессии
ДМ
но решил попробовать реализовать секьюрный способ с jwt
Y
В контексте OAuth, access token это токен, который позволяет Вам делать запросы на third party API, к которому Вы получили доступ в процессе OAuth flow.
Я так понимаю, Вы имеете в виду session token для вашего приложения/сервиса
Я так понимаю, Вы имеете в виду session token для вашего приложения/сервиса
ДМ
да скорей так, просто его так называют в основном в тех статья что я изучал
ДМ
в моей реализации accessToken это просто uid, который в редисе лежит
Y
Путаница в терминологии.
Я бы его так не называл)
Если у Вас single page app, то ложить в httponly cookie может быть неудобно.
Обычно JWT (тот, который для сессии) ложат в local storage, а refresh token в httponly cookie.
Поправьте, если я не прав
Я бы его так не называл)
Если у Вас single page app, то ложить в httponly cookie может быть неудобно.
Обычно JWT (тот, который для сессии) ложат в local storage, а refresh token в httponly cookie.
Поправьте, если я не прав
ДМ
ну у меня так и было изначально, то как в курсе показывалось, токен сессии лежит в localstorage, refresh в куки
ДМ
но посерфив чаты, меня заклевали, мол нельзя это хранить в localstorage
Y
Нельзя если нет refresh token
VK
На самом деле не очень понятно, зачем его вообще хранить в персисиентном хранилище
Можно просто в памяти, например
Можно просто в памяти, например
ДМ
и еще момент, может подскажете, по поводу ауэтентификации через oauth провайдеры, типо github/google, я использую passport, и после успешного входа на странице github, после чего в колбеке я делаю редирект на клиент, и устанавливаю в куки refreshToken, а вот токен сессии передать на клиент через url супер плохо?
ДМ
или после того как я отредиректил на клиент, нужно делать запрос на получение сессионого токена, и сохранять его в памяти/localStorage
Y
В двух вкладках приложение не будет нормально работать
VK
Почему это?
Вкладки ж все равно шарят куки
Вкладки ж все равно шарят куки