В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

JavaScript.Ninja

3199 membersпожаловаться на группу
2021 July 05

Y

Yevhen in JavaScript.Ninja
Когда откроете вторую вкладку нужен будет новый session token, который будет автоматически выдан используя refresh token. А это значит, что предыдущий нужно инвалидировать.
И даже без инвалидами может получиться ситуация гонки, когда refresh token меняется между запросами и Вам выдаётся по несколько токенов подряд
источник
11:23пожаловаться#1

VK

Vladimir Klimov in JavaScript.Ninja
Та же ситуация с входом на разных устройствах
источник
11:23пожаловаться#2

Y

Yevhen in JavaScript.Ninja
Нет, на разных устройствах будут разные refresh tokens. В случае вкладок он один.
источник
11:24пожаловаться#3

Y

Yevhen in JavaScript.Ninja
А почему сразу не отправить session token на клиент?
источник
11:25пожаловаться#4

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
через урл параметры?
источник
11:25пожаловаться#5

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
localhost:3000/?token=qweqweqwe123123
источник
11:26пожаловаться#6

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
и потом сохранить его в localStorage?
источник
11:26пожаловаться#7

Y

Yevhen in JavaScript.Ninja
Ну, можно обычной cookie и удалить ее после прочтения, что тоже так себе вариант.

Можно callback сделать на приложение, прочитать auth code, сделать запрос на backend, а оттуда уже вернуть session token
источник
11:36пожаловаться#8

Y

Yevhen in JavaScript.Ninja
Передавая session token через URL есть риск, что пользователь его скопирует и отправит кому-то
источник
11:38пожаловаться#9

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
auth code это что ?
источник
11:39пожаловаться#10

Y

Yevhen in JavaScript.Ninja
Если содержимое JWT Вам не нужно на клиенте (а зачем тогда JWT?), то можно просто ставить его как httponly cookie и отлавливать ошибки при API запросах.
источник
11:41пожаловаться#11

Y

Yevhen in JavaScript.Ninja
Это то, что Вам возвращает GitHub/Google/Facebook после того, как пользователь залогиниться в их сервисе. Потом auth code меняется на auth token, который и используется для выполнения API запросов на том провайдеру, который выдал auth token.
Это стандартный OAuth flow.
Вы читали те ссылки, что я кидал ранее?
источник
11:43пожаловаться#12

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
читал, но auth code как то не отложился в памяти
источник
11:44пожаловаться#13

Y

Yevhen in JavaScript.Ninja
А ещё passport можно убрать, так как он ничего полезного не делает.
Тем более в образовательных целях будет намного полезнее разобраться как работает OAuth2 flow без всяких библиотек.
источник
11:45пожаловаться#14

Y

Yevhen in JavaScript.Ninja
Вот ещё неплохое видео о том как работает OAuth
https://youtu.be/996OiexHze0
YouTube
OAuth 2.0 and OpenID Connect (in plain English)
Developer Advocate Nate Barbettini breaks down OpenID and OAuth 2.0 in Plain English

Check out our new video course! The Nuts and Bolts of OAuth 2.0
https://oauth2simplified.com/course

Get the book: OAuth 2.0 Simplified https://amzn.to/36HAGoS

Find Nate's slides here: https://speakerdeck.com/nbarbettini/oauth-and-openid-connect-in-plain-english
источник
11:46пожаловаться#15

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
спасибо за видос
источник
11:46пожаловаться#16

ДМ

Дмитрий Моисеев... in JavaScript.Ninja
не смотрел еще
источник
11:47пожаловаться#17

Y

Yevhen in JavaScript.Ninja
Но обязательно почитайте RFC
источник
11:48пожаловаться#18

IS

Ivan Saranchonkau in JavaScript.Ninja
смотрел буквально позавчера)
очень классный видос, объяснение и простой английский
источник
11:51пожаловаться#19

Y

Yevhen in JavaScript.Ninja
Ага, мне это видео помогло построить общую картину.
Но на самом деле, все это написано в RFC, который короче этого видео)
источник
11:55пожаловаться#20