НС
через сессии? 😉
Ну норм практика в токен права класть, чтобы на каждый чих не делать запросы.
Верификация/инвалидация пришедшего токена - другой вопрос
Size: a a a
2021 April 18
НС
через разлогаут всех?
AA
Он имел в виду блэк лист для логики обновления рефреша
НС
> Верификация/инвалидация пришедшего токена - другой вопрос
Как раз при решении этого вопроса мы либо убиваем логаут, либо убиваем всех, либо переизобретаем сессии, но хуже.
Как раз при решении этого вопроса мы либо убиваем логаут, либо убиваем всех, либо переизобретаем сессии, но хуже.
AA
Ага, потом удаленно поменяли права, а жвт не в курсе кек
AA
имхо для 95% проектов достаточно сессии + обычный токен
RP
Нет. Через UUID пользователя. Привалидации jwt идет запрос в редис на черные списки. В черный список пользователь помещается с ttl равным сроку действия refresh token. Таким образом, осущесталяется отзыв выданных токенов.
Это гораздо эффективнее чем в бд хранить сесси. Т.к. списки отзыва в сотни и тысячи раз компактнее. Плюс саоочищаются по ttl.
Это гораздо эффективнее чем в бд хранить сесси. Т.к. списки отзыва в сотни и тысячи раз компактнее. Плюс саоочищаются по ttl.
НС
см. картинку выше
НС
что в теории произойдёт, если твой редис падает?
НС
если всё ломается — ты переизобрёл сессии, но хуже
ТВ
то есть ты за сессии? Тогда что в них лучше хранить? Только uuid пользователя или весь объект пользователя?
НС
если мы пропускаем пользователя — у нас дыра
AA
Айди + небольшой пакет полезной инфы
доступы и т д
доступы и т д
RP
Зависит от стратегии. При жесткой - все юзеры будут ждать пока поднимится редис. Но только не нужно из частногт случая делать проьлему. Что убдет если отвалится БД? А если бэк ляжет? А если 3тья мировая?
НС
нет, суть не в частном случае
суть в том, что если ты жёстко ждёшь доступа к бд при проверке — это и есть аналог сессий.
но более кривой и громоздкий.
суть в том, что если ты жёстко ждёшь доступа к бд при проверке — это и есть аналог сессий.
но более кривой и громоздкий.
AA
А каким образом сессия связана с куками?
RP
Нет. Сессия это хранение состояния клиента на сервере. А ведение черных списков это аналог фаерврла.