SZ
Так а как ни крути, либо каждый запрос требует валидации на сервере, либо (в случае подписанных кук, токенов, etc) нет возможности в одностороннем порядке на сервере инвалидировать сессию мгновенно
Size: a a a
2021 August 11
2021 August 12
c
Можно вызовом коллбека заинтересованных сервисов при изменении статуса или сессии юзера на авторизационном сервисе
TU
Привет!
AT
+1 регрушник )
SZ
Ну поясни, как это будет работать. Как именно «заинтересованный сервис» отличит инвалидированный токен от нового только по содержимому токена, не обращаясь в какую-то БД?
c
Только по содержимому в условии не было. Использование JWT не обязывает при каждом реквесте парсить токен, особенно в случаях, когда стоит задача СРОЧНОЙ инвалидации.
c
И в целом это дорого - разбирать токен с подписью на каждом реквесте, но я уже писал это выше.
SZ
Нет, ты поясни, зачем вообще токены нужны и как это связано с хранением сессии в бд и как при этом инвалидировать токены
c
Эм? Ртфм? Сорри, это не моя война, я мимо проходил. По косвенным признакам сделал вывод, что стоит задача мгновенной инвалидации jwt. Она решаема. Пространные разговоры о токенах в вакууме сегодня не входили в мои планы, сорри.
VO
она решаемая, но возникает вопрос нахуя после этого jwt нужен? какой от него профит и почему бы просто не харнить все в бд?
c
Профит от JWT в возможности вытащить авторизацию в отдельный сервис, например, для SSO.
VO
а какие проблемы без jwt?
c
Чет я встрял в разговор начала которого не знаю. В чем вообще контекст то? Без JWT - никаких, ну будет какая-то иная самописная реализация с теми же граблями.
c
Просто jwt стандартизован
c
Просто не хранить что в бд? В чьей бд? Конечного сервиса? Ну если кроссавторизация не нужна, то почему бы и не хранить в бд или signed куках logged in - тру. Не вижу препятствий.
VO
и с кросавторизацией хранить можно. какая разница в чьей бд? можно в своей если все нужные сведения свои. можно в общей.
c
Я и говорю - токены в вакууме. Что значит в общей. Что является входными данными для валидации сессии без jwt? Откуда берутся эти входные в запросе? Из кук? Все сервисы на одном домене и ходят друг к другу в базы? Или у них общая база с помойкой для каждого сервиса? Без конкретизации задачи разговор ни о чем.
c
Ещё наводящий вопрос - на основе чего каждый сервис при кроссавторизации решает, что может доверять входным данным?