D
@Override
public User getUser(Long id) {
return userRepository.findById(id).get();
}
Size: a a a
2020 September 19
D
так писать нельзя
D
но если что, у тебя тупо не находит юзера по переданному айди
D
вот и все
D
userRepository.findById(id) -> Optional.empty() -> .get() -> NoSuchElementExceptionDS
Только причём тут спринг секьюрити )
D
вообще не причем
D
Но он же выдаёт пароль сгенерированный, даёт зайти по нему. И там уже 500 ошибка, когда в роут описанный по адресу заходишь (/hello/3). В этот момент что-то ломается.
S
если кто то тщательно изучал JWT, поделитесь плиз ссылкой на качественный обучающий материал, можно платный, с примерами сохранения jwt в спец. кук с флагами httponly и secure и выставлением флага SameSite. Ранее делал с сохранением в localStorage, хочу переделать по новому.
N
Примерно так). Ладно, спасибо. Буду пробовать исправить
ch
SR
если кто то тщательно изучал JWT, поделитесь плиз ссылкой на качественный обучающий материал, можно платный, с примерами сохранения jwt в спец. кук с флагами httponly и secure и выставлением флага SameSite. Ранее делал с сохранением в localStorage, хочу переделать по новому.
так это надо уже про куки читать, а там уже хоть jwt хоть рандомный текст
Э
SR
если кто то тщательно изучал JWT, поделитесь плиз ссылкой на качественный обучающий материал, можно платный, с примерами сохранения jwt в спец. кук с флагами httponly и secure и выставлением флага SameSite. Ранее делал с сохранением в localStorage, хочу переделать по новому.
jwt - не более, чем упакованные данные
Э
jwt access token приходит в Authorization header на Resourse Server. Какие куки?
DS
jwt access token приходит в Authorization header на Resourse Server. Какие куки?
JWT может куда угодно приходить, в том числе и в кукесы
Э
Ок, но по дефолту в Spring Security тригеррится на наличие в Authorization header
ПП
jwt access token приходит в Authorization header на Resourse Server. Какие куки?
jwt это всего лишь формат
S
можно сохранять jwt в спец. кук с флагами httponly и secure - его не смогут считать из javascript (защита от XSS) на клиенте, только сервер сможет его считывать. И с клиента браузер будет отправлять его автоматически при каждом запросе на сервер (не надо самому добавлять в header Authorization и пр.) . Сейчас такой вариант будет более безопасный, чем localStorage, т.к. браузеры усиливают требования к кукам (раньше их могли считать разные хакерские скрипты). теперь если им выставить флаг SameSite, то это будет защитой от XSRF и разных атак.
ПП
SR
можно сохранять jwt в спец. кук с флагами httponly и secure - его не смогут считать из javascript (защита от XSS) на клиенте, только сервер сможет его считывать. И с клиента браузер будет отправлять его автоматически при каждом запросе на сервер (не надо самому добавлять в header Authorization и пр.) . Сейчас такой вариант будет более безопасный, чем localStorage, т.к. браузеры усиливают требования к кукам (раньше их могли считать разные хакерские скрипты). теперь если им выставить флаг SameSite, то это будет защитой от XSRF и разных атак.
во-первых CSRF, а во-вторых расскажи зачем тебе jwt токен
S
во-первых CSRF, а во-вторых расскажи зачем тебе jwt токен
авторизация
ПП
SR
авторизация
сессия?